Finantsinspektsiooni seaduse ja teiste seaduste muutmise seaduse eelnõu (DORA eelnõu)
| Dokumendiregister | Majandus- ja Kommunikatsiooniministeerium |
| Viit | 2-3/1077 |
| Registreeritud | 17.04.2024 |
| Sünkroonitud | 18.04.2024 |
| Liik | Sissetulev kiri |
| Funktsioon | 2 Õigusloome ja -nõustamine |
| Sari | 2-3 Ettepanekud ja arvamused ministeeriumile kooskõlastamiseks saadetud õigusaktide eelnõude kohta |
| Toimik | 2-3/2024 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Rahandusministeerium |
| Saabumis/saatmisviis | Rahandusministeerium |
| Vastutaja | Ahti Kuningas (Majandus- ja Kommunikatsiooniministeerium, Kantsleri valdkond) |
| Originaal | Ava uues aknas |
Failid
Digiallkirjad
1
EELNÕU
Finantsinspektsiooni seaduse ja teiste seaduste muutmise seadus
§ 1. Finantsinspektsiooni seaduse muutmine
Finantsinspektsiooni seaduses tehakse järgmised muudatused:
1) paragrahvi 6 lõiget 1 täiendatakse punktiga 75 järgmises sõnastuses:
„75) täita Euroopa Parlamendi ja nõukogu määrusest (EL) 2022/2554, mis käsitleb
finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ) nr 1060/2009,
(EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (ELT L 333,
27.12.2022, lk 1–79), tulenevaid ülesandeid ja teha küberturvalisuse valdkonnas koostööd Eesti
ja teiste liikmesriikide küberturvalisuse pädevate asutustega;“;
2) paragrahvi 46 täiendatakse lõikega 10 järgmises sõnastuses:
„(10) Inspektsioon osaleb Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artiklis 32
sätestatud järelevaatamisfoorumi töös ning teavitab sellest sama määruse artikli lõike 5 kohaselt
juhtivat järelevaatamisasutust.“;
3) paragrahvi 47 lõike 12 punktis 4 asendatakse tekstiosa „Euroopa Parlamendi ja nõukogu
määruses (EL) nr 575/2013 krediidiasutuste ja investeerimisühingute suhtes kohaldatavate
usaldatavusnõuete kohta ja määruse (EL) nr 648/2012 muutmise kohta (ELT L 176,
27.06.2013, lk 1–337)“ tekstiosaga „Euroopa Parlamendi ja nõukogu määruses (EL)
nr 575/2013, mis käsitleb krediidiasutuste suhtes kohaldatavaid usaldatavusnõudeid ja millega
muudetakse määrust (EL) nr 648/2012 (ELT L 176 27.06.2013, lk 1)“;
4) seadust täiendatakse §-ga 4711 järgmises sõnastuses:
„§ 4711. Koostöö küberturvalisuse valdkonnas
(1) Inspektsioon teeb koostööd Riigi Infosüsteemide Ametiga. Koostöö sisaldab muu hulgas
järgmist:
1) Riigi Infosüsteemide Ametiga konsulteerimine Euroopa Parlamendi ja nõukogu määruse
(EL) 2022/2554 artikli 42 lõike 5 kohaselt;
2) Riigi Infosüsteemide Ametilt tehnilise nõu ja abi küsimine ning koostöökokkuleppe
sõlmimine, seda eelkõige kooskõlas Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554
artikli 47 lõigetega 3 ja 4;
3) teabe vahetamine Inspektsiooni ja Riigi Infosüsteemide Ameti vahel, sealhulgas
küberintsidentide ja küberohtude kohta ning küsimustes, mis puudutavad elutähtsaid teenuseid
osutavaid finantsjärelevalve subjekte;
4) koostöö koordineerimine seoses finantsjärelevalve subjektide digitaalse tegevuskerksuse
süvatestimisega.
(2) Inspektsioon teeb asjakohasel juhul koostööd teise lepinguriigi küberturvalisuse järelevalve
eest vastutava pädeva asutusega, seda eelkõige Euroopa Parlamendi ja nõukogu määruse (EL)
2022/2554 artikli 42 lõike 5 kohasel konsulteerimisel.
(3) Kui Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artikli 19 lõikes 4 nimetatud
teate ja raportid esitab Inspektsioonile hädaolukorra seaduse § 38 lõikes 1 sätestatud elutähtsa
teenuse osutaja, edastab Inspektsioon teate ja raportid viivitamata Eesti Pangale.
2
(4) Inspektsiooni koostöö Euroopa Pangandusjärelevalve Asutuse, Euroopa
Väärtpaberiturujärelevalve Asutuse, Euroopa Kindlustus- ja Tööandjapensionide Järelevalve
Asutuse ning Euroopa Keskpangaga sisaldab lisaks käesolevas peatükis sätestatule Euroopa
Parlamendi ja nõukogu määruse (EL) 2022/2554 artikli 48 lõikes 2 ning artikli 49 lõikes 2
sätestatud koostööd ja teabevahetust.“;
5) paragrahvi 54 lõiget 4 täiendatakse punktiga 12 järgmises sõnastuses:
„12) Riigi Infosüsteemi Ametile Euroopa Parlamendi ja nõukogu määruses (EL) 2022/2554 ja
käesoleva seaduse §-s 4711 sätestatud koostöö ulatuses.“;
6) paragrahvi 542 täiendatakse lõikega 4 järgmises sõnastuses:
„(4) Euroopa Parlamendi ja nõukogu määruses (EL) 2022/2554 sätestatud
järelevalvemenetlustes töödeldud isikuandmeid säilitatakse nimetatud määruse artiklis 56
sätestatu kohaselt.“.
§ 2. Finantskriisi ennetamise ja lahendamise seaduse muutmine
Finantskriisi ennetamise ja lahendamise seaduses tehakse järgmised muudatused:
1) paragrahvi 2 lõikes 2 asendatakse tekstiosa „Euroopa Parlamendi ja nõukogu määruse (EL)
nr 575/2013 krediidiasutuste ja investeerimisühingute suhtes kohaldatavate usaldatavusnõuete
kohta ja määruse (EL) nr 648/2012 muutmise kohta (ELT L 176, 27.06.2013, lk 1–337)“
tekstiosaga „Euroopa Parlamendi ja nõukogu määruse (EL) nr 575/2013, mis käsitleb
krediidiasutuste suhtes kohaldatavaid usaldatavusnõudeid ja millega muudetakse määrust (EL)
nr 648/2012 (ELT L 176 27.06.2013, lk 1)“;
2) paragrahvi 11 lõike 1 punkt 16 muudetakse ja sõnastatakse järgmiselt:
„16) korda ja meetmeid, mis on vajalikud krediidiasutuse tegevusprotsesside jätkuvaks
pidevaks toimimiseks, sealhulgas Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554,
mis käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ)
nr 1060/2009, (EL) nr 648/2012 ja (EL) nr 600/2014 (ELT L 333, 27.12.2022, lk 1–79),
kohaselt loodud ja hallatavate võrgu- ja infosüsteemide toimimiseks;“;
3) paragrahvi 28 lõiget 5 täiendatakse punktidega 141 ja 142 järgmises sõnastuses:
„141) Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artikli 3 punktis 23 nimetatud
kriitilise tähtsusega kolmandast isikust info- ja tehnoloogiateenuse osutaja andmed;
142) Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 IV peatüki kohased digitaalse
tegevuskerksuse testimise tulemused;“;
4) paragrahvi 29 lõike 1 punktis 5 asendatakse tekstiosa „tegevuse jätkumine“ tekstiosaga
„tegevuse jätkumine ja digitaalne tegevuskerksus“;
5) paragrahvi 29 lõike 1 punktis 8 asendatakse tekstiosa „süsteemide kirjeldus“ tekstiosaga
„süsteemide kirjeldus, sealhulgas küberturvalisuse seaduse § 2 punktis 1 sätestatud võrgu- ja
infosüsteemide kirjeldus“;
6) paragrahvi 33 lõike 4 punkt 4 muudetakse ja sõnastatakse järgmiselt:
„4) krediidiasutuse teenuslepingute, sealhulgas info- ja kommunikatsioonitehnoloogia teenuse
osutamisega seotud lepingute püsivus ja täielikult täitmisele pööratavus krediidiasutuse
kriisilahendusmenetluse korral;“;
7) paragrahvi 33 lõiget 4 täiendatakse punktiga 41 järgmises sõnastuses:
3
„41) kriitilisi funktsioone ja põhiäriliine toetavate võrgu- ja infosüsteemide digitaalne
tegevuskerksus, võttes arvesse Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554
artiklis 19 sätestatud teavitusi tõsistest info- ja kommunikatsioonitehnoloogiaga seotud
intsidentidest, kui see on asjakohane, ja määruse IV peatüki kohase digitaalse tegevuskerksuse
testimise tulemusi;“;
8) seaduse normitehnilist märkust täiendatakse pärast tekstiosa „muudetud direktiiviga (EL)
2019/879 (ELT L 150, 07.06.2019, lk 296–344)“ tekstiosaga „ja (EL) 2022/2556 (ELT L 333,
27.12.2022, lk 153–163)“.
§ 3. Hoiu-laenuühistu seaduse muutmine
Hoiu-laenuühistu seadust täiendatakse §-ga 21 järgmises sõnastuses:
„§ 21. Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 kohaldamata jätmine
Hoiu-laenuühistule ei kohaldata Euroopa Parlamendi ja nõukogu määrust (EL) 2022/2554, mis
käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ)
nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (ELT
L 333, 27.12.2022, lk 1–79).“.
§ 4. Investeerimisfondide seaduse muutmine
Investeerimisfondide seaduses tehakse järgmised muudatused:
1) paragrahvi 12 lõike 1 punktis 1 asendatakse tekstiosa „Euroopa Parlamendi ja nõukogu
määruse (EL) nr 575/2013 krediidiasutuste ja investeerimisühingute suhtes kohaldatavate
usaldatavusnõuete kohta ja määruse (EL) nr 648/2012 muutmise kohta (ELT L 176/1,
27.06.2013)“ tekstiosaga „Euroopa Parlamendi ja nõukogu määruse (EL) nr 575/2013, mis
käsitleb krediidiasutuste suhtes kohaldatavaid usaldatavusnõudeid ja millega muudetakse
määrust (EL) nr 648/2012 (ELT L 176 27.06.2013, lk 1)“;
2) paragrahvi 223 lõikes 2 asendatakse tekstiosa „§-des 310–312, 342, 354“ tekstiosaga „§-
des 310–312 ja 342, § 345 lõigetes 1–4, §-des 3451 ja 354“;
3) paragrahvi 223 täiendatakse lõikega 5 järgmises sõnastuses:
„(5) Käesoleva seaduse § 345 lõikes 11 ja §-s 3451 sätestatut ei kohaldata määratud
väljamaksetega tööandja pensionifondi suhtes, kui pensioniskeemiga on hõlmatud vähem kui
15 isikut.“;
4) paragrahvi 344 lõike 3 punkt 3 muudetakse ja sõnastatakse järgmiselt:
„3) nõuded info- ja kommunikatsioonitehnoloogilise korralduse, infoturbe tagamise ja
talitluspidevuse kohta, mis peavad asjakohasel juhul olema kooskõlas Euroopa Parlamendi ja
nõukogu määruses (EL) 2022/2554, mis käsitleb finantssektori digitaalset tegevuskerksust ning
millega muudetakse määrusi (EÜ) nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL)
nr 909/2014 ja (EL) 2016/1011 (ELT L 333, 27.12.2022, lk 1–79), sätestatud info- ja
kommunikatsioonitehnoloogia riskide juhtimise nõuetega;“;
5) paragrahvi 345 pealkiri muudetakse ja sõnastatakse järgmiselt:
„§ 345. Teabe töötlemine ja säilitamine, digitaalse tegevuskerksuse tagamine ning
eurofondi arvel tehtud tehingute registreerimine ja salvestamine
andmetöötlussüsteemis“;
4
6) paragrahvi 345 täiendatakse lõikega 11 järgmises sõnastuses:
„(11) Fondivalitseja järgib Euroopa Parlamendi ja nõukogu määruses (EL) 2022/2554
sätestatud nõudeid, sealhulgas kasutab ja haldab käesoleva paragrahvi lõikes 1 sätestatu
tagamiseks ning äriprotsesside toetamiseks võrgu- ja infosüsteeme määruses sätestatu kohaselt.
Pensionifondi valitseja suhtes kohaldatakse määruse (EL) 2022/2554 artiklites 3–18, artikli 19
lõigetes 1–5, artikli 22 lõikes 1, artiklites 24–30 ning artiklis 45 sätestatut.“;
7) seadust täiendatakse §-ga 3451 järgmises sõnastuses:
„§ 3451. Intsidendist ja küberohust teavitamine
(1) Fondivalitseja teavitab tõsisest info- ja kommunikatsioonitehnoloogiaga seotud intsidendist
Finantsinspektsiooni ning Riigi Infosüsteemi Ametit Euroopa Parlamendi ja nõukogu määruse
(EL) 2022/2554 artiklis 19 sätestatu kohaselt.
(2) Fondivalitseja kasutab käesoleva paragrahvi lõikes 1 sätestatud juhul esialgse teate ja
raportite edastamisel Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artikli 20 alusel
kehtestatud teavitusvorme ja lähtub kehtestatud tähtaegadest, välja arvatud juhul, kui tehnilistel
põhjustel ei ole võimalik esialgset teadet edastada asjakohast vormi kasutades.
(3) Kui fondivalitseja otsustab Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artikli
19 lõike 2 kohaselt teavitada Finantsinspektsiooni olulisest küberohust, edastab fondivalitseja
teavituse ühtlasi Riigi Infosüsteemi Ametile.“;
8) paragrahvi 3631 täiendatakse lõikega 3 järgmises sõnastuses:
„(3) Tööandja pensionifondi valitseja suhtes ei kohaldata käesoleva seaduse § 345 lõikes 11 ja
§-s 3451 sätestatut, kui fondi kuulub vähem kui 15 osakuomanikku.“;
9) paragrahvi 455 täiendatakse lõikega 32 järgmises sõnastuses:
„(32) Finantsinspektsioonil on Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 nõuete
kohase täitmise üle järelevalve teostamisel kõik nimetatud määruses, käesolevas seaduses ja
Finantsinspektsiooni seaduses sätestatud õigused. Finantsinspektsioon avalikustab oma
veebilehel nimetatud määruses (EL) 2022/2554 sätestatud kohustuse rikkumise eest tehtud
otsuse määruse artiklis 54 sätestatu kohaselt.“;
10) seaduse 31 peatüki 1. jagu täiendatakse §-ga 5034 järgmises sõnastuses:
„§ 5034. Digitaalse tegevuskerksuse nõuete rikkumine
(1) Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artiklites 5–14, 16–18, artikli 19
lõigetes 1 või 3–5, artiklites 24 või 25, artikli 26 lõigetes 1–8, artiklis 27, artikli 28 lõigetes 1–
8, artiklis 29, artikli 30 lõigetes 1–4 või artikli 42 lõikes 3 sätestatud nõuete rikkumise eest –
karistatakse rahatrahviga kuni 5 000 000 eurot või kuni kahekordses väärteo tulemusel teenitud
kasule või ära hoitud kahjule vastavas summas.
(2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 5 000 000 eurot või kuni kahekordses väärteo tulemusel teenitud
kasule või ära hoitud kahjule vastavas summas või kuni kümme protsenti juriidilise isiku või
tema konsolideerimisgrupi konsolideeritud käibest.“;
11) seaduse normitehnilise märkuse tekstiosa „ja 2013/14/EL (ELT L 145, 31.05.2013, lk 1–
3)“ asendatakse tekstiosaga „, 2013/14/EL (ELT L 145, 31.05.2013, lk 1–3) ja (EL) 2022/2556
(ELT L 333, 27.12.2022, lk 153–163)“;
5
12) seaduse normitehnilist märkust täiendatakse pärast tekstiosa „(ELT L 354, 23.12.2016,
lk 37–85)“ tekstiosaga „, muudetud direktiiviga (EL) 2022/2556 (ELT L 333, 27.12.2022, lk
153–163)“.
§ 5. Kindlustustegevuse seaduse muutmine
Kindlustustegevuse seaduses tehakse järgmised muudatused:
1) paragrahvi 38 lõike 2 punkt 5 muudetakse ja sõnastatakse järgmiselt:
„5) äriseadustiku § 386 lõike 2 punktides 1 ja 5 nimetatud andmed ja dokumendid;“;
2) paragrahvi 38 lõiget 2 täiendatakse punktiga 51 järgmises sõnastuses:
„51) äriühingu põhikirja või ühingulepingu asukohariigi seaduste kohaselt tõestatud ärakiri, kui
põhikiri või ühinguleping tuleb registrile esitada ka ühingu asukohariigis;“;
3) paragrahvi 87 lõikes 9 asendatakse tekstiosa „Euroopa Parlamendi ja nõukogu määruse (EL)
nr 575/2013 krediidiasutuste ja investeerimisühingute suhtes kohaldatavate usaldatavusnõuete
kohta ja määruse (EL) nr 648/2012 muutmise kohta (ELT L 176, 27.06.2013, lk 1–337)"
tekstiosaga „Euroopa Parlamendi ja nõukogu määruse (EL) nr 575/2013, mis käsitleb
krediidiasutuste suhtes kohaldatavaid usaldatavusnõudeid ja millega muudetakse määrust (EL)
nr 648/2012 (ELT L 176 27.06.2013, lk 1),“;
4) paragrahvi 96 täiendatakse lõikega 71 järgmises sõnastuses:
„(71) Kindlustusandja järgib Euroopa Parlamendi ja nõukogu määruses (EL) 2022/2554, mis
käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ)
nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (ELT
L 333, 27.12.2022, lk 1–79), sätestatud nõudeid, sealhulgas kasutab ja haldab võrgu- ja
infosüsteeme määruses sätestatu kohaselt.“;
5) paragrahvi 105 lõike 2 punkt 2 muudetakse ja sõnastatakse järgmiselt:
„2) nõuded info- ja kommunikatsioonitehnoloogilise korralduse, infoturbe tagamise ja
talitluspidevuse kohta, mis peavad olema kooskõlas Euroopa Parlamendi ja nõukogu määruses
(EL) 2022/2554 sätestatud info- ja kommunikatsioonitehnoloogia riskide juhtimise nõuetega;“;
6) seadust täiendatakse §-ga 1051 järgmises sõnastuses:
„§ 1051. Intsidendist ja küberohust teavitamine
(1) Kindlustusandja teavitab tõsisest info- ja kommunikatsioonitehnoloogiaga seotud
intsidendist Finantsinspektsiooni ja Riigi Infosüsteemi Ametit Euroopa Parlamendi ja nõukogu
määruse (EL) 2022/2554 artiklis 19 sätestatu kohaselt.
(2) Kindlustusandja kasutab käesoleva paragrahvi lõikes 1 sätestatud juhul esialgse teate ja
raportite edastamisel Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artikli 20 alusel
kehtestatud teavitusvorme ja lähtub kehtestatud tähtaegadest, välja arvatud juhul, kui tehnilistel
põhjustel ei ole võimalik esialgset teadet edastada asjakohast vormi kasutades.
(3) Kui kindlustusandja otsustab Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554
artikli 19 lõike 2 kohaselt teavitada Finantsinspektsiooni olulisest küberohust, edastab
kindlustusandja teavituse ühtlasi Riigi Infosüsteemi Ametile.“;
7) paragrahvi 138 tekst loetakse lõikeks 1 ja paragrahvi täiendatakse lõikega 2 järgmises
sõnastuses:
6
„(2) Kindlustusandja, välja arvatud Euroopa äriühingust kindlustusandja, piiriülene
ümberkujundamine ei ole lubatud.“;
8) paragrahvi 175 lõike 1 sissejuhatavas lauseosas asendatakse tekstiosa „§ 181 lõikeid 1 ja 6“
tekstiosaga „§ 181 lõikeid 1 ja 6, § 1811“;
9) paragrahvi 179 lõike 1 punkt 2 muudetakse ja sõnastatakse järgmiselt:
„2) kindlustussumma on vähemalt 1 564 610 eurot ühe kindlustusjuhtumi kohta ja 2 315 610
eurot aastas kõigi esitatud nõuete kohta;“;
10) seadust täiendatakse §-ga 1811 järgmises sõnastuses:
„§ 1811. Nõuded vahendaja digitaalsele tegevuskerksusele
(1) Vahendaja järgib Euroopa Parlamendi ja nõukogu määruses (EL) 2022/2554 sätestatud
nõudeid.
(2) Tõsistest info- ja kommunikatsioonitehnoloogiaga seotud intsidentidest ja küberohtudest
teavitamisele kohaldatakse käesoleva seaduse §-s 1051 sätestatut.
(3) Käesolevas paragrahvis sätestatut ei kohaldata mikroettevõtjast ja väikeettevõtjast
vahendajale ega keskmise suurusega vahendajale.“;
11) paragrahvi 186 lõike 2 punkt 13 muudetakse ja sõnastatakse järgmiselt:
„13) nõuded info- ja kommunikatsioonitehnoloogilise korralduse, infoturbe tagamise ja
talitluspidevuse kohta, mis peavad asjakohasel juhul olema kooskõlas Euroopa Parlamendi ja
nõukogu määruses (EL) 2022/2554 sätestatud info- ja kommunikatsioonitehnoloogia riskide
juhtimise raamistikuga;“;
12) paragrahvi 210 lõike 1 punkt 4 muudetakse ja sõnastatakse järgmiselt:
„4) äriseadustiku § 386 lõike 2 punktides 1, 3 ja 5 sätestatud andmed ja dokumendid;“;
13) paragrahvi 210 lõiget 1 täiendatakse punktiga 41 järgmises sõnastuses:
„41) äriühingu põhikirja või ühingulepingu asukohariigi seaduste kohaselt tõestatud ärakiri, kui
põhikiri või ühinguleping tuleb registrile esitada ka ühingu asukohariigis;“;
14) paragrahvi 224 täiendatakse lõikega 3 järgmises sõnastuses:
„(3) Finantsinspektsioonil on Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 nõuete
kohase täitmise üle järelevalve teostamisel kõik nimetatud määruses, käesolevas seaduses ja
Finantsinspektsiooni seaduses sätestatud õigused. Finantsinspektsioon avalikustab oma
veebilehel nimetatud määruses (EL) 2022/2554 sätestatud kohustuse rikkumise eest tehtud
otsuse määruse artiklis 54 sätestatu kohaselt.“;
15) seadust täiendatakse §-ga 2571 järgmises sõnastuses:
„§ 2571. Digitaalse tegevuskerksuse nõuete rikkumine
(1) Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artiklites 5–14 või 16–18, artikli
19 lõigetes 1 või 3–5, artiklites 24 või 25, artikli 26 lõigetes 1–8, artiklis 27, artikli 28 lõigetes
1–8, artiklis 29, artikli 30 lõigetes 1–4 või artikli 42 lõikes 3 sätestatud nõuete rikkumise eest –
karistatakse rahatrahviga kuni 700 000 eurot või kuni kahekordses väärteo tulemusel teenitud
kasule või ära hoitud kahjule vastavas summas.
(2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
7
karistatakse rahatrahviga kuni 5 000 000 eurot või kuni kahekordses väärteo tulemusel teenitud
kasule või ära hoitud kahjule vastavas summas või kuni kümme protsenti juriidilise isiku või
tema konsolideerimisgrupi konsolideeritud käibest.“;
16) paragrahvis 2633 asendatakse tekstiosa „käesoleva lõike esimeses lauses“ tekstiosaga
„eelmises lauses“;
17) seaduse normitehnilise märkuse tekstiosa „muudetud direktiiviga (EL) 2019/2177 (ELT
L 334, 27.12.2019, lk 155–163)“ asendatakse tekstiosaga „muudetud direktiividega (EL)
2019/2177 (ELT L 334, 27.12.2019, lk 155–163) ja (EL) 2022/2556 (ELT L 333, 27.12.2022,
lk 153–163)“.
§ 6. Krediidiandjate ja -vahendajate seaduse muutmine
Krediidiandjate ja -vahendajate seaduse § 28 lõikes 5 asendatakse tekstiosa „Euroopa
Parlamendi ja nõukogu määruse (EL) nr 575/2013 krediidiasutuste ja investeerimisühingute
suhtes kohaldatavate usaldatavusnõuete kohta ja määruse (EL) nr 648/2012 muutmise kohta
(ELT L 176, 27.06.2013, lk 1–337)“ tekstiosaga „Euroopa Parlamendi ja nõukogu määruse
(EL) nr 575/2013, mis käsitleb krediidiasutuste suhtes kohaldatavaid usaldatavusnõudeid ja
millega muudetakse määrust (EL) nr 648/2012 (ELT L 176 27.06.2013, lk 1),“.
§ 7. Krediidiasutuste seaduse muutmine
Krediidiasutuste seaduses tehakse järgmised muudatused:
1) paragrahvi 206 lõike 3 teises lauses asendatakse tekstiosa „üksnes filiaali kaudu“ tekstiosaga
„üksnes Eesti äriregistrisse kantud filiaali kaudu“;
2) paragrahvi 21 lõike 2 punkt 5 muudetakse ja sõnastatakse järgmiselt:
„5) äriseadustiku § 386 lõike 2 punktides 1, 3 ja 5 nimetatud andmed ja dokumendid;“;
3) paragrahvi 21 lõiget 2 täiendatakse punktiga 6 järgmises sõnastuses:
„6) äriühingu põhikirja või ühingulepingu asukohariigi seaduste kohaselt tõestatud ärakiri, kui
põhikiri või ühinguleping tuleb registrile esitada ka ühingu asukohariigis;“;
4) seadust täiendatakse §-ga 824 järgmises sõnastuses:
„§ 824. Nõuded operatsiooniriski juhtimisele
(1) Krediidiasutus järgib Euroopa Parlamendi ja nõukogu määruses (EL) 2022/2554, mis
käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ)
nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (ELT
L 333, 27.12.2022, lk 1–79), sätestatud nõudeid, sealhulgas kasutab ja haldab võrgu- ja
infosüsteeme määruses sätestatu kohaselt.
(2) Krediidiasutus töötab käesoleva seaduse § 82 lõikes 5 sätestatud talitluspidevuse plaani
osana välja piisavad info- ja kommunikatsioonitehnoloogia talitluspidevuse põhimõtted ja
plaani ning info- ja kommunikatsioonitehnoloogia reageerimis- ja taasteplaanid tehnoloogia
jaoks, mida krediidiasutus kasutab teabe edastamiseks, et tagada tegevuse jätkumine tõsiste
toimimishäirete korral ning piirata selliste häirete tagajärjel tekkida võivat kahju.
Krediidiasutus töötab eelmises lauses nimetatud plaanid välja ning haldab ja testib neid
kooskõlas Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artikliga 11.
8
(3) Krediidiasutusele ei kohaldata küberturvalisuse seaduse 2. peatükis sätestatud
küberturvalisuse tagamise nõudeid ja hädaolukorra seaduse § 41 lõiget 1.“;
5) seadust täiendatakse §-ga 923 järgmises sõnastuses:
„§ 923. Intsidendist ja küberohust teavitamine
(1) Krediidiasutus teavitab tõsisest info- ja kommunikatsioonitehnoloogiaga seotud intsidendist
Finantsinspektsiooni ning Riigi Infosüsteemi Ametit Euroopa Parlamendi ja nõukogu määruse
(EL) 2022/2554 artiklis 19 sätestatu kohaselt.
(2) Kui krediidiasutus on elutähtsa teenuse osutaja hädaolukorra seaduse § 38 lõike 1
tähenduses, loetakse käesoleva paragrahvi lõikes 1 sätestatu kohaselt esitatud teavitusega
hädaolukorra seaduse § 38 lõike 3 punktis 4 sätestatud elutähtsa teenuse osutaja teavitamise
kohustus tõsise info- ja kommunikatsioonitehnoloogiaga seotud intsidendi kohta täidetuks. Kui
hädaolukorra seaduse § 37 lõike 3 punktis 7 nimetatud sündmus ei liigitu tõsiseks info- ja
kommunikatsioonitehnoloogiaga seotud intsidendiks, kohaldatakse sündmusest teavitamisele
nimetatud seaduses ja selle alusel antud õigusaktis sätestatud nõudeid.
(3) Krediidiasutus kasutab käesoleva paragrahvi lõikes 1 sätestatud juhul esialgse teate ja
raportite edastamisel Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artikli 20 alusel
kehtestatud teavitusvorme ja lähtub kehtestatud tähtaegadest, välja arvatud juhul, kui tehnilistel
põhjustel ei ole võimalik esialgset teadet edastada asjakohast vormi kasutades.
(4) Kui krediidiasutus otsustab Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554
artikli 19 lõike 2 kohaselt teavitada Finantsinspektsiooni olulisest küberohust, edastab ta
teavituse ühtlasi Riigi Infosüsteemi Ametile.“;
6) paragrahvi 96 lõikes 5 asendatakse tekstiosa „süsteemset riski“ tekstiosaga „süsteemset riski,
digitaalse tegevuskerksuse testimise käigus tuvastatud riski“;
7) paragrahvi 99 lõiget 1 täiendatakse punktiga 41 järgmises sõnastuses:
„41) Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artikli 3 lõike 1 punktis 19
nimetatud kolmandast isikust info- ja kommunikatsioonitehnoloogia teenuse osutaja;“;
8) paragrahvi 103 täiendatakse lõikega 32 järgmises sõnastuses:
„(32) Finantsinspektsioonil on Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 nõuete
kohase täitmise üle järelevalve teostamisel kõik nimetatud määruses, käesolevas seaduses ja
Finantsinspektsiooni seaduses sätestatud õigused. Finantsinspektsioon avalikustab oma
veebilehel nimetatud määruses (EL) 2022/2554 sätestatud kohustuse rikkumise eest tehtud
otsuse määruse artiklis 54 sätestatu kohaselt“;
9) paragrahvid 13423–13425 tunnistatakse kehtetuks;
10) seadust täiendatakse §-ga 13426 järgmises sõnastuses:
„§ 13426. Digitaalse tegevuskerksuse nõuete rikkumine
(1) Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artiklites 5–14 või 16–18, artikli
19 lõigetes 1 või 3–5, artiklites 24 või 25, artikli 26 lõigetes 1–8, artiklis 27, artikli 28 lõigetes
1–8, artiklis 29, artikli 30 lõigetes 1–4 või artikli 42 lõikes 3 sätestatud nõuete rikkumise eest –
karistatakse rahatrahviga kuni 5 000 000 eurot või kuni kahekordses väärteo tulemusel teenitud
kasule või ära hoitud kahjule vastavas summas.
9
(2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 5 000 000 eurot või kuni kahekordses väärteo tulemusel teenitud
kasule või ära hoitud kahjule vastavas summas või kuni kümme protsenti juriidilise isiku või
tema konsolideerimisgrupi konsolideeritud käibest.“;
11) seaduse 12. peatükki täiendatakse §-dega 1401 ja 1402 järgmises sõnastuses:
„§ 1401. Juriidilise isiku ja konsolideerimisgrupi konsolideeritud käive
(1) Käesolevas peatükis sätestatud juriidilise isiku käive on aastane netokäive eelmisel
majandusaastal, sealhulgas brutotulu, mis koosneb saadaolevatest intressidest ja samalaadsetest
tuludest, tuludest aktsiatelt ja muudelt muutuv- või püsituluga väärtpaberitelt ning
saadaolevatest komisjoni- või teenustasudest kooskõlas Euroopa Parlamendi ja nõukogu
määruse (EL) nr 575/2013 artikliga 316. Kui juriidiline isik on emaettevõtja tütarettevõtja, on
käesoleva lõike esimeses lauses nimetatud brutotuluks kogutulu eelmise majandusaasta
konsolideeritud aastaaruande järgi.
(2) Käesoleva seaduse §-des 13414 ja 13421 sätestatud juriidilise isiku käive on aastane
kogukäive viimase kättesaadava juhtimisorgani kinnitatud raamatupidamise aruande järgi. Kui
juriidiline isik on emaettevõtja või sellise emaettevõtja tütarettevõtja, kes peab koostama
konsolideeritud finantsaruandeid, on käesoleva lõike esimeses lauses nimetatud kogukäive
aastane kogukäive või sellele vastav tululiik viimase kättesaadava konsolideeritud
raamatupidamise aruande järgi, mille on heaks kiitnud kõrgeima taseme emaettevõtja
juhtimisorgan.
§ 1402. Menetlus
(1) Käesolevas peatükis sätestatud väärtegude kohtuväline menetleja on Finantsinspektsioon.
(2) Käesolevas peatükis sätestatud väärtegude aegumistähtaeg on kolm aastat.“;
12) seaduse normitehnilise märkuse tekstiosa „ja (EL) 2019/2034 (ELT L 314, 05.12.2019,
lk 64–114)“ asendatakse tekstiosaga „, (EL) 2019/2034 (ELT L 314, 05.12.2019, lk 64–114) ja
(EL) 2022/2556 (ELT L 333, 27.12.2022, lk 153–163)“.
§ 8. Makseasutuste ja e-raha asutuste seaduse muutmine
Makseasutuste ja e-raha asutuste seaduses tehakse järgmised muudatused:
1) paragrahvi 3 lõike 6 punktis 3 asendatakse tekstiosa „ Euroopa Parlamendi ja nõukogu
määruse (EL) nr 575/2013 krediidiasutuste ja investeerimisühingute suhtes kohaldatavate
usaldatavusnõuete kohta ja määruse (EL) nr 648/2012 muutmise kohta (ELT L 176,
27.06.2013, lk 1–337)“ tekstiosaga „Euroopa Parlamendi ja nõukogu määruse (EL)
nr 575/2013, mis käsitleb krediidiasutuste suhtes kohaldatavaid usaldatavusnõudeid ja millega
muudetakse määrust (EL) nr 648/2012 (ELT L 176 27.06.2013, lk 1),“;
2) paragrahvi 4 lõike 1 punktis 9 asendatakse tekstiosa „sidevõrgu- ja infotehnoloogiliste
teenuste“ tekstiosaga „info- ja kommunikatsioonitehnoloogia- ning sidevõrguteenuste“;
3) paragrahvi 7 lõiget 1 täiendatakse teise lausega järgmises sõnastuses:
„E-raha asutus võib tegutseda üksnes aktsiaseltsina, kui ta osutab käesoleva paragrahvi lõike 2
punktis 1 või 2 nimetatud teenust.“;
10
4) paragrahvi 15 lõike 1 punkt 9 muudetakse ja sõnastatakse järgmiselt:
„9) andmed kavandatavate teenuste osutamiseks vajalike info- ja
kommunikatsioonitehnoloogia ja muude vahendite ning süsteemide kohta ning info- ja
kommunikatsioonitehnoloogia teenuste kasutamise kord kooskõlas Euroopa Parlamendi ja
nõukogu määrusega (EL) 2022/2554, mis käsitleb finantssektori digitaalset tegevuskerksust
ning millega muudetakse määrusi (EÜ) nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014,
(EL) nr 909/2014 ja (EL) 2016/1011 (ELT L 333, 27.12.2022, lk 1–79);“;
5) paragrahvi 15 lõike 11 punkt 2 muudetakse ja sõnastatakse järgmiselt:
„2) selgitust, kuidas turvalisuskontrolli ja riskide maandamise meetmetega, sealhulgas
käesoleva seaduse § 635 lõikes 1 nimetatud turvameetmetega, tagatakse digitaalse
tegevuskerksuse kõrge tase Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 II peatüki
kohaselt, eelkõige andmekaitses ja tehnilise turvalisuse, sealhulgas info- ja
kommunikatsioonitehnoloogia süsteemide jaoks, mida kasutab taotleja või kolmas isik, kellele
antakse edasi makseteenuse osutamisega seotud tegevusi või tööülesandeid.“;
6) paragrahvi 17 lõige 5 muudetakse ja sõnastatakse järgmiselt:
„(5) Kui taotleja ei ole kõrvaldanud käesoleva paragrahvi lõikes 1 nimetatud puudusi ettenähtud
tähtaja jooksul või ei ole tähtpäevaks esitanud Finantsinspektsiooni nõutud andmeid või
dokumente või taotlus on esitatud oluliste puudustega, võib Finantsinspektsioon jätta
tegevusloa taotluse läbi vaatamata.“;
7) paragrahvi 24 lõige 3 muudetakse ja sõnastatakse järgmiselt:
„(3) Eesti makseasutuse ja e-raha asutuse poolt käesoleva paragrahvi lõikes 2 nimetamata
välisriigis (edaspidi kolmandas riigis) filiaali asutamisele kohaldatakse käesoleva seaduse §-
des 25–28 sätestatut.“;
8) paragrahvi 24 täiendatakse lõikega 41 järgmises sõnastuses:
„(41) Kolmandas riigis piiriüleselt teenuse osutamiseks peab makseasutus või e-raha asutus
taotlema Finantsinspektsioonilt luba. Loa taotlemiseks esitab makseasutus või e-raha asutus
Finantsinspektsioonile kirjaliku taotluse ning § 29 lõike 1 punktides 1 ja 2 sätestatud andmed
ja dokumendid. Loa taotlemisele, menetlemisele, andmisele ja kehtetuks tunnistamisele
kohaldatakse käesoleva seaduse § 25 lõigetes 1 ja 3 ning §-des 26–28 filiaali asutamise loa
kohta sätestatut, sealjuures § 27 punktides 3 ja 4 äriplaani kohta sätestatut kohaldatakse
tegevuskava suhtes.“;
9) paragrahvi 32 lõike 2 punkt 6 muudetakse ja sõnastatakse järgmiselt:
„6) äriseadustiku § 386 lõike 2 punktides 1, 3 ja 5 nimetatud andmed ja dokumendid;“;
10) paragrahvi 32 lõiget 2 täiendatakse punktiga 61 järgmises sõnastuses:
„61) äriühingu põhikirja või ühingulepingu asukohariigi seaduste kohaselt tõestatud ärakiri, kui
põhikiri või ühinguleping tuleb registrile esitada ka ühingu asukohariigis;“;
11) paragrahvi 44 lõike 1 punktis 3 asendatakse tekstiosa „§-s 54“ tekstiosaga „§-s 39“;
12) paragrahvi 50 lõike 3 punktis 6 asendatakse tekstiosa „infotehnoloogiaalaste“ tekstiosaga
„info- ja kommunikatsioonitehnoloogia“;
13) paragrahvi 50 lõike 3 punkt 9 muudetakse ja sõnastatakse järgmiselt:
„9) turvalisusega seotud kliendikaebuste ja turvaintsidentide väljaselgitamise ja lahendamise
ning nende suhtes meetmete rakendamise kord, sealhulgas intsidentidest teatamise kord
kooskõlas Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 III peatükis sätestatud
11
tõsisest info- ja kommunikatsioonitehnoloogiaga seotud intsidendist ning osutatava
makseteenusega seotud olulisest operatsiooni- või turvaintsidendist teavitamise nõuetega;“;
14) paragrahvi 50 lõike 3 punkt 11 muudetakse ja sõnastatakse järgmiselt:
„11) talitluspidevuse tagamise kord, sealhulgas oluliste toimingute loetelu, tõhusad info- ja
kommunikatsioonitehnoloogia talitluspidevuse põhimõtted ja plaanid ning info- ja
kommunikatsioonitehnoloogia reageerimis- ja taasteplaanid ning nende plaanide asjakohasuse
ja tõhususe regulaarse testimise ning läbivaatamise menetlus kooskõlas Euroopa Parlamendi ja
nõukogu määruses (EL) 2022/2554 sätestatuga;“;
15) paragrahvi 52 lõige 1 muudetakse ja sõnastatakse järgmiselt:
„(1) Makseasutuse või e-raha asutuse ümberkujundamine on lubatud üksnes osaühingust
aktsiaseltsiks. Ümberkujundamiseks on vajalik Finantsinspektsiooni luba.“;
16) paragrahvi 52 täiendatakse lõigetega 11–17 järgmises sõnastuses:
„(11) Makseasutus või e-raha asutus kujundatakse ümber äriseadustikus sätestatud korras, kui
käesolevast seadusest ei tulene teisiti.
(12) Käesoleva paragrahvi lõikes 1 sätestatud loa saamiseks esitab makseasutus või e-raha
asutus Finantsinspektsioonile taotluse koos järgmiste andmete ja dokumentidega:
1) osanike koosoleku otsus põhikirja muutmise kohta ja põhikirja muudetud tekst;
2) osanike koosoleku protokoll;
3) ümberkujundamisaruanne.
(13) Finantsinspektsioon teeb otsuse ümberkujundamisloa andmise või sellest keeldumise kohta
ühe kuu jooksul kõigi nõuetekohaste andmete ja dokumentide saamisest arvates, kuid hiljemalt
kolm kuud pärast taotluse saamist.
(14) Finantsinspektsioon võib keelduda ümberkujundamisloa andmisest, kui:
1) ümberkujundamisluba taotleva makseasutuse või e-raha asutuse finantsseisund ei vasta
käesolevas seaduses sätestatud nõuetele;
2) ümberkujundamisega seotud dokumentatsioon ei vasta käesolevas seaduses või
äriseadustikus sätestatud nõuetele;
3) ümberkujundamine võib muul põhjusel kahjustada makseasutuse või e-raha asutuse klientide
huve;
4) esineb muu oluline alus ümberkujundamist mitte lubada.
(15) Finantsinspektsioon avalikustab ümberkujundamisloa andmise otsuse hiljemalt otsuse
tegemisele järgneval tööpäeval oma veebilehel.
(16) Äriseadustiku § 485 lõikes 1 nimetatud ja äriregistri pidajale esitatavale avaldusele
lisatakse Finantsinspektsiooni luba makseasutuse või e-raha asutuse ümberkujundamiseks.
(17) Makseasutuse ega e-raha asutuse piiriülene ümberkujundamine ei ole lubatud.“;
17) paragrahvi 62 lõikes 2 ja § 84 lõike 2 punktis 4 asendatakse sõna „infosüsteem“ tekstiosaga
„info- ja kommunikatsioonitehnoloogia süsteem“ vastavas käändes;
18) paragrahvi 635 täiendatakse lõikega 3 järgmises sõnastuses:
„(3) Makseasutus ja e-raha asutus järgib lisaks käesoleva paragrahvi lõikes 1 sätestatule
Euroopa Parlamendi ja nõukogu määruses (EL) 2022/2554 sätestatud nõudeid.“;
12
19) paragrahvi 636 pealkiri muudetakse ja sõnastatakse järgmiselt:
„§ 636. Intsidendist ja küberohust teavitamine“;
20) paragrahvi 636 täiendatakse lõigetega 5–8 järgmises sõnastuses:
„(5) Käesoleva paragrahvi lõigetes 1 ja 2 sätestatut ei kohaldata makseasutusele ega e-raha
asutusele. Makseasutus ja e-raha asutus lähtuvad olulisest operatsiooni- või turvaintsidendist
Finantsinspektsioonile teavitamisel Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554
III peatükis sätestatust.
(6) Makseasutus ja e-raha asutus teavitavad Euroopa Parlamendi ja nõukogu määruse (EL)
2022/2554 artikli 3 punktis 10 sätestatud tõsisest info- ja kommunikatsioonitehnoloogiaga
seotud intsidendist Finantsinspektsiooni ja Riigi Infosüsteemi Ametit Euroopa Parlamendi ja
nõukogu määruse (EL) 2022/2554 artiklis 19 sätestatu kohaselt.
(7) Makseasutus ja e-raha asutus kasutavad käesoleva paragrahvi lõikes 6 sätestatud juhul
esialgse teate ja raportite edastamiseks Euroopa Parlamendi ja nõukogu määruse (EL)
2022/2554 artikli 20 alusel kehtestatud teavitusvorme ja lähtuvad teavitamisel kehtestatud
tähtaegadest, välja arvatud juhul, kui tehnilistel põhjustel ei ole võimalik esialgset teadet
edastada asjakohast vormi kasutades.
(8) Kui makseasutus või e-raha asutus otsustab Euroopa Parlamendi ja nõukogu määruse (EL)
2022/2554 artikli 19 lõike 2 kohaselt teavitada Finantsinspektsiooni olulisest küberohust,
edastab makseasutus või e-raha asutus teavituse ühtlasi Riigi Infosüsteemi Ametile.“;
21) paragrahvi 91 pealkiri muudetakse ja sõnastatakse järgmiselt:
„§ 91. Finantsinspektsiooni ülesanded, õigused ja rakendatavad meetmed“;
22) paragrahvi 91 tekst loetakse lõikeks 1 ja paragrahvi täiendatakse lõikega 2 järgmises
sõnastuses:
„(2) Finantsinspektsioonil on Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 nõuete
kohase täitmise üle järelevalve teostamisel kõik nimetatud määruses, käesolevas seaduses ja
Finantsinspektsiooni seaduses sätestatud õigused. Finantsinspektsioon avalikustab oma
veebilehel nimetatud määruses (EL) 2022/2554 sätestatud kohustuse rikkumise eest tehtud
otsuse määruse artiklis 54 sätestatu kohaselt.“;
23) paragrahvi 92 lõige 11 muudetakse ja sõnastatakse järgmiselt:
(11) Finantsinspektsioon võib oma ettekirjutusega keelata makseasutusel või e-raha asutusel
välisriigis asutatud filiaali kaudu või muul viisil teenuste osutamise, kui:
1) ilmneb mõni käesoleva seaduse § 29 lõikes 5 nimetatud asjaolu;
2) välisriigi finantsjärelevalve asutus on Finantsinspektsiooni teavitanud välisriigi õigusaktis
sätestatud või välisriigi finantsjärelevalve asutuse esitatud tingimuste rikkumisest
makseasutuse või e-raha asutuse poolt.
24) paragrahvi 92 lõikes 12 asendatakse sõna „lepinguriigis“ sõnaga „välisriigis“;
25) seadust täiendatakse §-ga 1091 järgmises sõnastuses:
„§ 1091. Digitaalse tegevuskerksuse nõuete rikkumine
(1) Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artiklites 5–14 või 16–18, artikli
19 lõigetes 1 või 3–5, artiklites 24 või 25, artikli 26 lõigetes 1–8, artiklis 27, artikli 28 lõigetes
1–8, artiklis 29, artikli 30 lõigetes 1–4 või artikli 42 lõikes 3 sätestatud nõuete rikkumise eest –
13
karistatakse rahatrahviga kuni 5 000 000 eurot või kuni kahekordses väärteo tulemusel teenitud
kasule või ära hoitud kahjule vastavas summas.
(2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 5 000 000 eurot või kuni kahekordses väärteo tulemusel teenitud
kasule või ära hoitud kahjule vastavas summas või kuni kümme protsenti juriidilise isiku või
tema konsolideerimisgrupi konsolideeritud käibest.“;
26) seaduse normitehnilist märkust täiendatakse pärast tekstiosa „(ELT L 337, 23.12.2015,
lk 35–127)“ tekstiosaga „, muudetud direktiiviga (EL) 2022/2556 (ELT L 333, 27.12.2022, lk
153–163)“.
§ 9. Väärtpaberite registri pidamise seaduse muutmine
Väärtpaberite registri pidamise seaduses tehakse järgmised muudatused:
1) paragrahvi 71 lõike 5 esimene lause muudetakse ja sõnastatakse järgmiselt:
„Registripidaja võimaldab Finantsinspektsioonil, Riigi Infosüsteemi Ametil ja Andmekaitse
Inspektsioonil igal ajal kontrollida turvastandardite rakendamist nii registripidaja, infosüsteemi
majutamisteenuse pakkuja kui ka infosüsteemi majutamise asukohas.“;
2) paragrahvi 71 lõige 7 tunnistatakse kehtetuks;
3) seaduse 4. peatükki täiendatakse §-ga 302 järgmises sõnastuses:
„§ 302. Nõuded registripidaja digitaalsele tegevuskerksusele
(1) Registripidaja järgib Euroopa Parlamendi ja nõukogu määruses (EL) 2022/2554, mis
käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ)
nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (ELT
L 333, 27.12.2022, lk 1–79), sätestatud nõudeid.
(2) Registripidajale ei kohaldata küberturvalisuse seaduse 2. peatükis sätestatud
küberturvalisuse tagamise nõudeid.
(3) Registripidaja teavitab tõsisest info- ja kommunikatsioonitehnoloogiaga seotud intsidendist
Finantsinspektsiooni ning Riigi Infosüsteemi Ametit Euroopa Parlamendi ja nõukogu määruse
(EL) 2022/2554 artiklis 19 sätestatu kohaselt.
(4) Registripidaja kasutab käesoleva paragrahvi lõikes 3 sätestatud juhul esialgse teate ja
raportite edastamisel Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artikli 20 alusel
kehtestatud teavitusvorme ja lähtub kehtestatud tähtaegadest, välja arvatud juhul, kui tehnilistel
põhjustel ei ole võimalik esialgset teadet edastada asjakohast vormi kasutades.
(5) Kui registripidaja otsustab Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554
artikli 19 lõike 2 kohaselt teavitada Finantsinspektsiooni olulisest küberohust, edastab
registripidaja teavituse ühtlasi Riigi Infosüsteemi Ametile.
(6) Registripidaja peab kooskõlas Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554
artikli 12 lõikes 5 sätestatuga tagama vähemalt ühe varutöötluskoha olemasolu.
(7) Käesoleva paragrahvi lõigetes 1–6 sätestatut ei kohaldata pensioniregistri pidajale.“;
14
4) paragrahvi 38 täiendatakse lõikega 13 järgmises sõnastuses:
„(13) Finantsinspektsioon teostab lisaks käesoleva paragrahvi lõikes 12 sätestatule järelevalvet
Euroopa Parlamendi ja nõukogu määruses (EL) 2022/2554 sätestatu täitmise üle.“;
5) paragrahvi 39 täiendatakse lõikega 11 järgmises sõnastuses:
„(11) Finantsinspektsioonil on Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 nõuete
kohase täitmise üle järelevalve teostamisel kõik nimetatud määruses, käesolevas seaduses ja
Finantsinspektsiooni seaduses sätestatud õigused.“;
6) paragrahvi 39 täiendatakse lõikega 41 järgmises sõnastuses:
„(41) Finantsinspektsioon avalikustab oma veebilehel nimetatud määruses (EL) 2022/2554
sätestatud kohustuse rikkumise eest tehtud otsuse määruse artiklis 54 sätestatu kohaselt.“.
§ 10. Väärtpaberituru seaduse muutmine
Väärtpaberituru seaduses tehakse järgmised muudatused:
1) paragrahvi 1 lõikes 2 asendatakse tekstiosa „ja §-s 23784“ tekstiosaga „ning §-des 23784 ja
23790“;
2) paragrahvis 101 asendatakse tekstiosa „Euroopa Parlamendi ja nõukogu määruse (EL)
nr 575/2013 krediidiasutuste ja investeerimisühingute suhtes kohaldatavate usaldatavusnõuete
kohta ja määruse (EL) nr 648/2012 muutmise kohta (ELT L 176, 27.06.2013, lk 1–337)“
tekstiosaga „Euroopa Parlamendi ja nõukogu määruse (EL) nr 575/2013, mis käsitleb
krediidiasutuste suhtes kohaldatavaid usaldatavusnõudeid ja millega muudetakse määrust (EL)
nr 648/2012 (ELT L 176 27.06.2013, lk 1),“;
3) paragrahvi 66 lõike 2 punkt 5 muudetakse ja sõnastatakse järgmiselt:
„5) andmed vastavalt äriseadustiku § 386 lõike 2 punktides 1, 3 ja 5 sätestatule;“;
4) paragrahvi 66 lõiget 2 täiendatakse punktiga 51 järgmises sõnastuses:
„51) äriühingu põhikirja või ühingulepingu asukohariigi seaduste kohaselt tõestatud ärakiri, kui
põhikiri või ühinguleping tuleb registrile esitada ka ühingu asukohariigis;“;
5) paragrahvi 701 lõike 3 punkt 5 muudetakse ja sõnastatakse järgmiselt:
„5) andmed vastavalt äriseadustiku § 386 lõike 2 punktides 1, 3 ja 5 sätestatule;“;
6) paragrahvi 701 lõiget 3 täiendatakse punktiga 51 järgmises sõnastuses:
„51) äriühingu põhikirja või ühingulepingu asukohariigi seaduste kohaselt tõestatud ärakiri kui
põhikiri või ühinguleping tuleb registrile esitada ka ühingu asukohariigis;“;
7) paragrahvi 811 täiendatakse lõikega 41 järgmises sõnastuses:
„(41) Investeerimisühing järgib Euroopa Parlamendi ja nõukogu määruses (EL) 2022/2554, mis
käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ)
nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (ELT
L 333, 27.12.2022, lk 1–79), sätestatud nõudeid, sealhulgas on tal asjakohased ja
proportsionaalsed info- ja kommunikatsioonitehnoloogia süsteemid ning ta haldab neid
määruse artiklis 7 sätestatu kohaselt.“;
8) paragrahvi 826 lõige 4 muudetakse ja sõnastatakse järgmiselt:
„(4) Edasiandmisel peavad olema täidetud komisjoni delegeeritud määruses (EL) nr 2017/565
ja info- ja kommunikatsioonitehnoloogia teenuse edasiandmisel lisaks Euroopa Parlamendi ja
15
nõukogu määruses (EL) 2022/2554 sätestatud ning käesolevast seadusest tulenevad nõuded,
sealhulgas rakendab investeerimisühing usaldusväärseid turvasüsteeme, et tagada
teabeedastusviiside ohutus ja autentimine, vähendada andmete rikkumise ja loata juurdepääsu
riski ning hoida ära teabelekked, säilitades igal ajal andmete konfidentsiaalsuse.“;
9) paragrahvi 8215 lõike 1 teine lause muudetakse ja sõnastatakse järgmiselt:
„Investeerimisühing järgib käesolevas lõikes nimetatud meetmete rakendamisel muu hulgas
komisjoni delegeeritud määruses (EL) nr 2017/589, millega täiendatakse Euroopa Parlamendi
ja nõukogu direktiivi 2014/65/EL seoses regulatiivsete tehniliste standarditega, milles
määratakse kindlaks algoritmkauplemisega tegelevate investeerimisühingute
organisatsioonilised nõuded (ELT L 87, 31.03.2017, lk 417–448), ning Euroopa Parlamendi ja
nõukogu määruses (EL) 2022/2554 sätestatut.“;
10) paragrahvi 8215 lõige 5 muudetakse ja sõnastatakse järgmiselt:
„(5) Investeerimisühingul peab olema tõhus talitluspidevuse kord, mis sisaldab muu hulgas
info- ja kommunikatsioonitehnoloogia talitluspidevuse põhimõtteid ja plaane ning info- ja
kommunikatsioonitehnoloogia reageerimis- ja taasteplaane Euroopa Parlamendi ja nõukogu
määruse (EL) 2022/2554 artikli 11 kohaselt, et toime tulla kauplemissüsteemi tõrgetega.
Investeerimisühing tagab käesoleva paragrahvi lõikes 1 nimetatud süsteemide igakülgse
testimise ja nende vastavuse käesolevas paragrahvis, sealhulgas määruse II ja IV peatükis
sätestatud nõuetele.“;
11) seadust täiendatakse §-ga 8218 järgmises sõnastuses:
„§ 8218. Intsidendist ja küberohust teavitamine
(1) Investeerimisühing teavitab tõsisest info- ja kommunikatsioonitehnoloogiaga seotud
intsidendist inspektsiooni ning Riigi Infosüsteemi Ametit Euroopa Parlamendi ja nõukogu
määruse (EL) 2022/2554 artiklis 19 sätestatu kohaselt.
(2) Investeerimisühing kasutab käesoleva paragrahvi lõikes 1 sätestatud juhul esialgse teate ja
raportite edastamisel Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artikli 20 alusel
kehtestatud teavitusvorme ja lähtub kehtestatud tähtaegadest, välja arvatud juhul, kui tehnilistel
põhjustel ei ole võimalik esialgset teadet edastada asjakohast vormi kasutades.
(3) Kui investeerimisühing otsustab Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554
artikli 19 lõike 2 kohaselt teavitada inspektsiooni olulisest küberohust, edastab ta teavituse
ühtlasi Riigi Infosüsteemi Ametile.“;
12) seaduse 13. peatüki pealkiri muudetakse ja sõnastatakse järgmiselt:
„13. peatükk
INVESTEERIMISÜHINGU ÜHINEMINE, JAGUNEMINE JA
ÜMBERKUJUNDAMINE“;
13) paragrahv 114 muudetakse ja sõnastatakse järgmiselt:
„§ 114. Jagunemise ja piiriülese ümberkujundamise keeld
Investeerimisühingu jagunemine ja piiriülene ümberkujundamine ei ole lubatud.“;
14) paragrahvi 11917 täiendatakse lõikega 3 järgmises sõnastuses:
„(3) Erandi alusel tegutsevale aruandlusteenuse osutajale kohaldatakse käesoleva seaduse §-s
8218 investeerimisühingu kohta sätestatut info- ja kommunikatsioonitehnoloogiaga seotud
intsidentidest ja küberohtudest teavitamise korral.“;
16
15) paragrahvi 121 lõikes 3 asendatakse sõna „infotehnoloogiliste“ tekstiosaga „info- ja
kommunikatsioonitehnoloogia“;
16) paragrahvi 1246 lõige 1 muudetakse ja sõnastatakse järgmiselt:
„(1) Korraldaja kehtestab õiguslikud, tehnilised ja organisatsioonilised meetmed ja rakendab
neid, et tuvastada ja maandada turu õigus- ja korrapärase toimimise riskid, sealhulgas info- ja
kommunikatsioonitehnoloogia riskid Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554
II peatükis sätestatu kohaselt.“;
17) paragrahvi 1246 lõige 3 muudetakse ja sõnastatakse järgmiselt:
„(3) Korraldaja järgib Euroopa Parlamendi ja nõukogu määruses (EL) 2022/2554 sätestatud
nõudeid, sealhulgas rakendab meetmeid, et usaldusväärselt hallata turu korraldamiseks
kasutatava infotehnoloogilise süsteemi või muu tehingute tegemist vahendava ja andmeid
salvestava süsteemi (edaspidi kauplemissüsteem) tehnilisi toiminguid ning toime tulla
süsteemide riketega.“;
18) paragrahvi 1246 täiendatakse lõikega 9 järgmises sõnastuses:
„(9) Korraldajale ei kohaldata küberturvalisuse seaduse 2. peatükis sätestatud küberturvalisuse
tagamise nõudeid.“;
19) paragrahvi 1251 lõike 2 teine lause muudetakse ja sõnastatakse järgmiselt:
„Korraldajal on tõhus talitluspidevuse kord teenuste osutamise jätkuvuse tagamiseks turu
kauplemissüsteemi tõrgete korral, sealhulgas kehtestab korraldaja info- ja
kommunikatsioonitehnoloogia talitluspidevuse põhimõtted ja plaani ning info- ja
kommunikatsioonitehnoloogia reageerimis- ja taasteplaanid Euroopa Parlamendi ja nõukogu
määruse (EL) 2022/2554 artiklis 11 sätestatu kohaselt.“;
20) paragrahvi 1252 lõike 1 teine lause muudetakse ja sõnastatakse järgmiselt:
„Muu hulgas nõuab korraldaja turul osalejalt algoritmide asjakohast testimist ja selleks vajaliku
keskkonna loomist Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 II ja IV peatükis
sätestatu kohaselt.“;
21) seaduse 14. peatükki täiendatakse §-ga 1253 järgmises sõnastuses:
„§ 1253. Intsidendist ja küberohust teavitamine
(1) Korraldaja teavitab tõsisest info- ja kommunikatsioonitehnoloogiaga seotud intsidendist
inspektsiooni ning Riigi Infosüsteemi Ametit Euroopa Parlamendi ja nõukogu määruse (EL)
2022/2554 artiklis 19 sätestatu kohaselt.
(2) Korraldaja kasutab käesoleva paragrahvi lõikes 1 sätestatud juhul esialgse teate ja raportite
edastamisel Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artikli 20 alusel
kehtestatud teavitusvorme ja lähtub kehtestatud tähtaegadest, välja arvatud juhul, kui tehnilistel
põhjustel ei ole võimalik esialgset teadet edastada asjakohast vormi kasutades.
(3) Kui korraldaja otsustab Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artikli 19
lõike 2 kohaselt teavitada inspektsiooni olulisest küberohust, edastab ta teavituse ühtlasi Riigi
Infosüsteemi Ametile.“;
22) paragrahvi 1631 lõikes 7 asendatakse tekstiosa „§-des 1251 ja 1252“ tekstiosaga „§-des
1251–1253“;
17
23) paragrahvi 230 lõiget 1 täiendatakse punktiga 16 järgmises sõnastuses:
„16) Euroopa Parlamendi ja nõukogu määrus (EL) 2022/2554.“;
24) paragrahvi 230 täiendatakse lõikega 7 järgmises sõnastuses:
„(7) Inspektsioonil on Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 nõuete kohase
täitmise üle järelevalve teostamisel lisaks käesoleva paragrahvi lõike 1 teises lauses sätestatule
kõik Euroopa Parlamendi ja nõukogu määruses (EL) 2022/2554 sätestatud õigused.
Finantsinspektsioon avalikustab oma veebilehel nimetatud määruses (EL) 2022/2554 sätestatud
kohustuse rikkumise eest tehtud otsuse määruse artiklis 54 sätestatu kohaselt.
25) paragrahv 23789 tunnistatakse kehtetuks;
26) seadust täiendatakse §-ga 23790 järgmises sõnastuses:
„§ 23790. Digitaalse tegevuskerksuse nõuete rikkumine
(1) Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artiklites 5–14 või 16–18,
artikli 19 lõigetes 1 või 3–5, artiklites 24 või 25, artikli 26 lõigetes 1–8, artiklis 27, artikli 28
lõigetes 1–8, artiklis 29, artikli 30 lõigetes 1–4 või artikli 42 lõikes 3 sätestatud nõuete
rikkumise eest –
karistatakse rahatrahviga kuni 5 000 000 eurot või kuni kahekordses väärteo tulemusel teenitud
kasule või ära hoitud kahjule vastavas summas.
(2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 5 000 000 eurot või kuni kahekordses väärteo tulemusel teenitud
kasule või ära hoitud kahjule vastavas summas või kuni kümme protsenti juriidilise isiku või
tema konsolideerimisgrupi konsolideeritud käibest.“;
27) paragrahv 2622 tunnistatakse kehtetuks;
28) seadust täiendatakse §-ga 2623 järgmises sõnastuses:
㤠2623. Menetlus
(1) Käesolevas peatükis nimetatud väärtegude kohtuväline menetleja on inspektsioon.
(2) Käesolevas peatükis sätestatud väärtegude aegumistähtaeg on kolm aastat.“;
29) seaduse normitehnilise märkuse tekstiosa „(EL) 2016/1034 (ELT L 175, 30.06.2016, lk 8–
11) ja (EL) 2019/2034 (ELT L 314, 05.12.2019, lk 64–114)“ asendatakse tekstiosaga „, (EL)
2016/1034 (ELT L 175, 30.06.2016, lk 8–11), (EL) 2019/2034 (ELT L 314, 05.12.2019, lk 64–
114) ja (EL) 2022/2556 (ELT L 333, 27.12.2022, lk 153–163)“.
§ 11. Seaduse jõustumine
(1) Käesoleva seaduse § 1 punktid 1, 2 ja 4–6, § 2 punktid 2–8, § 3, § 4 punktid 2–12, § 5
punktid 4–6, 8, 10, 11, 14, 15 ja 17, § 7 punktid 4–12, § 8 punktid 2, 4, 5, 12–14, 17–22, 25 ja
26, § 9 ning § 10 punktid 1, 7–11,14–26 ja 29 jõustuvad 2025. aasta 17. jaanuaril.
(2) Käesoleva seaduse § 5 punkt 9 jõustub 2024. aasta 9. oktoobril.
Lauri Hussar
Riigikogu esimees
18
Tallinn 2024
Algatab Vabariigi Valitsus 2024
(allkirjastatud digitaalselt)
1
Finantsinspektsiooni seaduse ja teiste seaduste muutmise seaduse
eelnõu1 seletuskiri
1. Sissejuhatus
1.1. Sisukokkuvõte
Eelnõuga tagatakse kooskõla riigisisese finantssektori tegevust reguleeriva õiguse ja
finantsasutustele kohalduvate Euroopa Liidu (edaspidi EL) digitaalse tegevuskerksuse nõuete
vahel.
Põhieesmärk on vähendada finantssektoris äriprotsesside ja oluliste funktsioonide katkemise
riski ning ohtu nii ettevõtte kui ka klientide teabe- ja finantsvarale, mida võivad põhjustada nii
tehnilised rikked, operatiivsed vead kui ka küberründed, ning seeläbi suurendada muu hulgas
finantsteenuste klientide ja investorite kaitset.
Finantsteenuste valdkonnas toimunud digiüleminek on toonud kaasa info- ja
kommunikatsioonitehnoloogia (edaspidi IKT) teenuste kasutamise ja neile tuginemise
enneolematul tasemel. Finantsteenuste osutamine ilma pilvteenuseid, tarkvaralahendusi ja
andmetega seotud teenuseid kasutamata on muutunud mõeldamatuks. Digitaalse
tegevuskerksuse nõuete rakendamise eesmärk on tagada finantsasutuste:
- tegevuse toimimine, terviklikkus ja usaldusväärus mh IKT suutlikkusega seonduvalt;
- võime kohaneda, toimida ja taastuda IKT-ga seotud riskide realiseerumisel, sh küberrünnete
korral;
- suutlikkus teenuse osutamist kiiresti jätkata.
Finantsasutustele suunatud EL digitaalse tegevuskerksuse nõuded on sätetatud:
- Euroopa Parlamendi ja nõukogu määruses (EL) 2022/25542, mis käsitleb finantssektori
digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ) nr 1060/2009, (EL)
nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (edaspidi DORA
määrus) ja
- Euroopa Parlamendi ja nõukogu direktiivis (EL) 2022/25563, millega muudetakse direktiive
2009/65/EÜ, 2009/138/EÜ, 2011/61/EL, 2013/36/EL, 2014/59/EL, 2014/65/EL, (EL)
2015/2366 ja (EL) 2016/2341 seoses finantssektori digitaalse tegevuskerksusega (edaspidi
DORA direktiiv).
Eelnõuga võetakse üle DORA direktiiv, mille ülevõtmistähtaeg on 17. jaanuaril 2025. a. Ühtlasi
tagataks finantssektori seaduste kooskõla DORA määrusega.
Digitaalse tegevuskerksuse nõuete kohaldamisalasse kuuluvad finantsasutused on:
- krediidiasutused;
- hoiu-laenuühistud (riigisisene valik mitte kohaldada määrust);
- makseasutused;
- e-raha asutused;
- investeerimisühingud;
- alternatiivsete investeerimisfondide valitsejad;
- fondivalitsejad;
- aruandlusteenuse osutajad;
1 Esimesel kooskõlastusel käinud eelnõu nimetus: finantskriisi ennetamise ja lahendamise seaduse ning teiste seaduste
muutmise seaduse eelnõu 2 https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX:32022R2554 3 https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX:32022L2556
2
- kindlustus- ja edasikindlustusandjad;
- kindlustusvahendajad (v.a kuni keskmise suurusega vahendajad);
- krüptovarateenuse osutajad ja varapõhiste tokenite emitendid;
- reitinguagentuurid;
- kriitilise tähtsusega võrdlusaluste haldurid;
- ühisrahastamisteenuse osutajad;
- väärtpaberistamise registrid;
- väärtpaberite keskdepositooriumid;
- kesksed vastaspooled;
- ühisrahastusteenuse osutajad;
- kauplemiskohad;
- kauplemisteabehoidlad ja
- tööandja kogumispensioni asutused (IORP-id).
Finantsasutus peab:
- kehtestama tõhusa ja usaldusväärse IKT-riskide juhtimisraamistiku, mis on
dokumenteeritud ja auditeeritud, võimaldades IKT-ga seotud riske kiiresti ja tõhusalt
juhtida;
- teavitama pädevat asutust tõsistest IKT intsidentidest;
- testima regulaarselt ettevõtte digitaalset tegevuskerksust;
- jagama (vabatahtlikult) küberohtudega seotud infot teiste finantsasutustega;
- muu hulgas juhtima kolmandast isikust IKT teenuseosutajaga seotud riske, sealhulgas
järgima finantsasutuse ja kolmandast isikust IKT teenuseosutaja vahelistele lepingutele
kohalduvaid põhimõtteid.
DORA kohaldamisalasse kuuluvad lisaks kriitilise tähtsusega kolmandast osapoolest IKT
teenuseosutajad, kelle suhtes kohaldub EL-ülene järelevaatamisraamistik.
Seega mõjutab uus regulatsioon kõiki finantsasutusi, kelle halduskoormus küll tõuseb, kuid
hästi toimiv IKT-riskide juhtimisraamistik ja digitaalse tegevuskerksuse testimine aitab
ennetada IKT-ga seotud riskide realiseerumist, samas riskide realiseerumisel aitab tagada, et
ettevõte saab kiiresti jätkata oluliste funktsioonide osutamist. Kui finantsasutusel on toimiv IKT
riskide juhtimisraamistik, on ka klientidega seotud teabe- ja finantsvara paremini kaitstud ning
lisaks on klientidele teenuse osutamise katkemise risk oluliselt väiksem.
Lisaks tehakse tehnilised muudatused, et viia finantssektori seadused kooskõlla äriseadustikus
(ÄS) 2022. aasta 23. detsembril ja 2023. aasta 1. veebruaril jõustunud muudatustega. Sellega
eemaldatakse seadustest tühi viide ning lisatakse vastav regulatsioon seaduste teksti ning
ajakohastatakse ühinguõigust reguleerivaid sätteid.
Eelnõuga tehtavad muudatused jõustuvad osaliselt üldkorras ning DORA määruse ja direktiivi
nõuete rakendamisega seotud sätted 17. jaanuaril 2025. a. Kindlustusummade tõstmisega
muudatused jõustuvad 9.oktoobril 2024. a.
1.2. Eelnõu ettevalmistaja
Eelnõu ja seletuskirja on välja töötanud Rahandusministeeriumi finantsteenuste poliitika
osakonna nõunik Kristiina Kubja (58851398, [email protected]), sama osakonna
osakonnajuhataja Siiri Tõniste (58851466, [email protected]) ja osakonnajuhataja asetäitja
Thomas Auväärt (6113633, [email protected]). Eelnõu väljatöötamisel konsulteeriti
Finantsinspektsiooni (FI), Riigi Infosüsteemide Ameti (RIA), Eesti Panga (EP), Majandus ja
kommunikatsiooniministeeriumi (MKM) ja Riigikantseleiga (RK).
3
Eelnõu ja seletuskirja juriidilist kvaliteeti kontrollis Rahandusministeeriumi personali- ja
õigusosakonna nõunik Marge Kaskpeit (58851423, [email protected]) ja keeleliselt
toimetas sama osakonna keeletoimetaja Sirje Lilover (58851468, [email protected]).
1.3. Märkused
Eelnõu on seotud Vabariigi Valitsuse tegevusprogrammi punktiga 2.1.3, mille kohaselt tuleb
finantskriisi ennetamise ja lahendamise seaduse eelnõu direktiivi (EL) 2022/2556 (14.
detsember 2022) ülevõtmiseks esitada Vabariigi Valitsusele hiljemalt 2024. aasta juuliks4.
Eelnõuga muudetakse:
- Finantsinspektsiooni seadust (edaspidi FIS) redaktsioonis RT I, 06.07.2023, 28;
- finantskriisi ennetamise ja lahendamise seadust (edaspidi FELS) redaktsioonis
RT I, 17.03.2023, 7;
- investeerimisfondide seadust (edaspidi IFS) redaktsioonis RT I, 06.07.2023, 34;
- hoiu-laenuühistute seadust (edaspidi HLÜS) redaktsioonis RT I, 05.05.2022, 12;
- kindlustustegevuse seadust (edaspidi KindlTS) redaktsioonis RT I, 17.03.2023, 12;
- krediidiandjate- ja -vahendajate seadust (edaspidi KAVS) redaktsioonis RT I, 17.03.2023,
13;
- krediidiasutuste seadust (edaspidi KAS) redaktsioonis RT I, 17.03.2023, 17;
- makseasutuste ja e-raha asutuste seadust (edaspidi MERAS) redaktsioonis
RT I, 17.03.2023, 18;
- väärtpaberite registri pidamise seadust (edaspidi EVKS) redaktsioonis RT I, 17.03.2023, 11;
- väärtpaberituru seadust (edaspidi VpTS) redaktsioonis RT I, 06.07.2023, 128.
Eelnõu on seotud järgmiste EL õigusaktidega:
- DORA määrus;
- DORA direktiiv;
- Komisjoni delegeeritud määrus (EL) 2024/8965, millega muudetakse Euroopa Parlamendi
ja nõukogu direktiivi (EL) 2016/97 selliste regulatiivsete tehniliste standardite osas, millega
kohandatakse kindlustus-, edasikindlustus- ja kõrvaltegevusena pakutava kindlustuse
vahendajate ametialase vastutuskindlustuse ning finantssuutlikkuse baassummasid eurodes
(edaspidi kindlustussummade muutmise määrus).
DORA määrus on lisaks seotud järgmiste EL õigusaktidega (vt seletuskirja punkti 2.5):
- Euroopa Parlamendi ja nõukogu direktiiv (EL) 2022/2555, mis käsitleb meetmeid, millega
tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust
(EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks
direktiiv (EL) 2016/1148 (edaspidi NIS2 direktiiv) ja
- Euroopa Parlamendi ja nõukogu direktiiv (EL) 2022/2557, mis käsitleb elutähtsa teenuse
osutajate toimepidevust ja millega tunnistatakse kehtetuks nõukogu direktiiv 2008/114/EÜ
(edaspidi CER direktiiv).
CER direktiivi ülevõtmiseks on Riigikantselei välja töötanud hädaolukorra seaduse ja teiste
seaduste muutmise seaduse eelnõu (edaspidi HOS eelnõu)6. NIS2 direktiivi ülevõtmiseks on
MKM koostamas küberturvalisuse seaduse muutmise seaduse eelnõu.
4 VVTP-s on viide direktiivile (EL) 2022/1556, õige on (EL) 2022/2556. 5 Delegeeritud määrus - EL - 2024/896 - EN - EUR-Lex (europa.eu) 6 https://eelnoud.valitsus.ee/main/mount/docList/ad7af8cd-617c-45f3-b850-78ad002f6a3a
4
Käesoleva eelnõu vastuvõtmiseks on vajalik Riigikogu poolthäälte enamus.
2. Seaduse eesmärk
2.1. Eelnõu algatamise vajalikkus
Seaduse eesmärk on tagada DORA määruse ja DORA direktiivi nõuetekohane riigisisene
rakendamine. Kuivõrd finantsasutused sõltuvad oma igapäevases äritegevuses suurel määral
digitehnoloogia kasutamisest, on oluline, et nad tagavad digitaalse tegevuskerksuse IKT-riski
suhtes.
Kogu finantssektori IKT-riski ja tegevuskerksust hõlmav ELi õigusraamistik on killustunud ega
ole täielikult järjepidev. Kuigi EL tasandil on IKT-riskiga seotud nõudeid (osana
operatsiooniriski nõuetest) käsitletud näiteks Euroopa Parlamendi ja nõukogu direktiivides
2009/65/EÜ7, 2009/138/EÜ8, 2011/61/EL9, 2013/36/EL10, 2014/59/EL11, 2014/65/EL12, (EL)
2015/236613 ja (EL) 2016/234114, on need nõuded väga erinevad ja kohati mittetäielikud. Kuigi
viidatud liidu õigusaktides on käsitletud operatsiooniriski norme põhjalikumalt, on
keskendutud sageli traditsioonilisele kvantitatiivsele riski käsitlevale lähenemisviisile
(kehtestades riski hõlmamiseks kapitalinõuded), mitte sihipärastele kvalitatiivsetele normidele,
millega nähakse ette kaitsmise, avastamise, piiramise, taastamise ja parandamise suutlikkus
IKT-ga seotud intsidentide puhul või teatamise ja digitaalse testimise suutlikkus. Lisaks, kuna
IKT-ga seotud intsidentidest teatamise nõuded ei ole järjepidevad, ei ole ka järelevalveasutustel
täielikku ülevaadet intsidentide laadist, sagedusest, tähtsusest ja mõjust.
Finantsinspektsiooni 2. novembri 2022. aasta pressiteates15 on osutatud, et „väikepankade või
nende teenusepakkujate vastu suunatud küberrünnete hulk kasvas 2021. aastal võrreldes aasta
varasemaga ligi kolm korda. 2022. aasta alguses alanud Ukraina-Vene sõjaga seoses on
rünnakute oht jätkuvalt kõrge nii pankade enda kui ka nende teenuste toimimist mõjutavate
oluliste teenusepakkujate süsteemide vastu. FI-le edastatud info kohaselt hindavad väikepangad
keskmisest kõrgemaks riski, mis on seotud IT tegevuste edasiandmisega. Mida rohkem
kasutavad väikepangad IT-ga seotud tegevustel väliseid partnereid, seda suuremad on ka riskid.
Kuna Eesti pangad pakuvad teenuseid peamiselt läbi e-kanalite, siis on ka e-kanalite
talitluspidevusega seotud riskid keskmisest kõrgemad. Lisaks teatasid mitmed tarkvaratootjad
7 Euroopa Parlamendi ja nõukogu direktiiv 2009/65/EÜ, 13. juuli 2009 , vabalt võõrandatavatesse väärtpaberitesse ühiseks
investeeringuks loodud ettevõtjaid (eurofondid) käsitlevate õigus- ja haldusnormide kooskõlastamise kohta EMPs kohaldatav
tekst 8 Euroopa Parlamendi ja Nõukogu direktiiv 2009/138/EÜ, 25. november 2009 , kindlustus- ja edasikindlustustegevuse
alustamise ja jätkamise kohta (Solventsus II) EMPs kohaldatav tekst 9 Euroopa Parlamendi ja nõukogu direktiiv 2011/61/EL, 8. juuni 2011 , alternatiivsete investeerimisfondide valitsejate kohta,
millega muudetakse direktiive 2003/41/EÜ ja 2009/65/EÜ ning määruseid (EÜ) nr 1060/2009 ja (EL) nr 1095/2010 EMPs
kohaldatav tekst 10 Euroopa Parlamendi ja nõukogu direktiiv 2013/36/EL, 26. juuni 2013 , mis käsitleb krediidiasutuste tegevuse alustamise
tingimusi ning krediidiasutuste ja investeerimisühingute usaldatavusnõuete täitmise järelevalvet, millega muudetakse direktiivi
2002/87/EÜ ning millega tunnistatakse kehtetuks direktiivid 2006/48/EÜ ja 2006/49/EÜ EMPs kohaldatav tekst 11 Euroopa Parlamendi ja nõukogu direktiiv 2014/59/EL, 15. mai 2014 , millega luuakse krediidiasutuste ja
investeerimisühingute finantsseisundi taastamise ja kriisilahenduse õigusraamistik ning muudetakse nõukogu direktiivi
82/891/EMÜ ning Euroopa Parlamendi ja nõukogu direktiive 2001/24/EÜ, 2002/47/EÜ, 2004/25/EÜ, 2005/56/EÜ,
2007/36/EÜ, 2011/35/EL, 2012/30/EL ja 2013/36/EL ning määruseid (EL) nr 1093/2010 ja (EL) nr 648/2012 EMPs kohaldatav
tekst 12 Euroopa Parlamendi ja nõukogu direktiiv 2014/65/EL, 15. mai 2014 , finantsinstrumentide turgude kohta ning millega
muudetakse direktiive 2002/92/EÜ ja 2011/61/EL (uuesti sõnastatud) EMPs kohaldatav tekst 13 Euroopa Parlamendi ja nõukogu direktiiv (EL) 2015/2366, 25. november 2015, makseteenuste kohta siseturul, direktiivide
2002/65/EÜ, 2009/110/EÜ ning 2013/36/EL ja määruse (EL) nr 1093/2010 muutmise ning direktiivi 2007/64/EÜ kehtetuks
tunnistamise kohta (EMPs kohaldatav tekst) 14 Euroopa Parlamendi ja nõukogu direktiiv (EL) 2016/2341, 14. detsember 2016, tööandja kogumispensioni asutuste tegevuse
ja järelevalve kohta (uuesti sõnastatud) (EMPs kohaldatav tekst) 15 https://fi.ee/et/uudised/finantsinspektsioon-suunab-panku-maandama-it-riske
5
eelmisel aastal olulistest turvanõrkustest laialdaselt kasutatavates tarkvarades, millele tuli
pankadel kaasneva riski vältimiseks kiirelt reageerida ning vajalikke meetmeid rakendada“.
Euroopa Süsteemsete Riskide Nõukogu (ESRB) kinnitas süsteemset küberriski käsitlevas 2020.
aasta aruandes16, et finantssektori ettevõtjate, finantsturgude ja finantsturutaristu suur
omavaheline seotus ning eelkõige nende IKT-süsteemide omavaheline sõltuvus võivad
kujutada endast süsteemset nõrkust, sest lokaalsed küberintsidendid võivad kanduda kiiresti EL
mis tahes ühest ligikaudu 22 000 finantssektori ettevõtjast üle kogu finantssüsteemile,
olenemata geograafilistest piiridest. Finantssektoris toimuvad tõsised IKT-ga seotud
rikkumised ei mõjuta ainult üksikuid finantssektori ettevõtjaid. Need soodustavad ka lokaalselt
nõrkuse edasi kandumist finantsülekannete kanaleid pidi ja võivad avaldada negatiivset mõju
EL finantssüsteemi stabiilsusele, näiteks põhjustades likviidsuse väljavoolu ning üldiselt
vähendada kindlustunnet ja usaldust finantsturgudesse.
Ka 2023. aasta ESRB raportis17 on välja toodud, et geopoliitiline olukord on küberohu
keskkonda oluliselt tõstnud.
2.2. Ülevaade finantsasutustele kohalduvatest digitaalse tegevuskerksuse nõuetest
A. IKT-riskide juhtimisraamistik
IKT-risk – mõistlikult tuvastatav asjaolu võrgu- ja infosüsteemide kasutamisel, mis
realiseerumise korral võib seada ohtu:
- võrgu- ja infosüsteemi,
- tehnoloogiast sõltuva vahendi või protsessi,
- operatsiooni ja protsessi toimimise või
- teenuste osutamise turvalisuse,
tekitades kahjulikke mõjusid digitaalses või füüsilises keskkonnas.
IKT-riskide juhtimisraamistiku märksõnad
Tuvasta Finantsasutused määravad kindlaks, liigitavad ja dokumenteerivad
asjakohaselt kõik IKT-põhised ärifunktsioonid, rollid ja vastutusvaldkonnad,
neid funktsioone toetavad teabevara ja IKT-vara ning nende rollid ja
sõltuvuse seoses IKT-riskidega.
Kaitse ja
enneta
Finantsasutused seiravad ja kontrollivad pidevalt IKT-süsteemide ja -
vahendite turvalisust ja toimimist ning minimeerivad IKT-süsteemidele
avalduva IKT-riski mõju. Infoturbe korraga määratakse kindlaks reeglid
andmete, teabevara ja IKT-vara kättesaadavuse, autentsuse, tervikluse ja
konfidentsiaalsuse kaitsmiseks.
Avasta Finantsasutusel peavad olema mehhanismid, mis võimaldavad kohe
avastada anomaalset tegevust, sealhulgas IKT-võrgu jõudluse probleeme ja
IKT intsidente, ning teha kindlaks võimalikud olulised nõrgad lülid.
Reageeri ja
taasta
IKT talitluspidevuse põhimõtte eesmärk on tagada kriitilise tähtsusega või
oluliste funktsioonide jätkumine, reageerida kõigile IKT intsidentidele ja
lahendada need kiiresti; aktiveerida viivitamata piiramis-, reageerimis- ja
taastemeetmed, hinnata mõju ning rakendada kommunikatsiooni- ja
kriisijuhtimismeetmed. Finantsasutusel on kehtestatud IKT talitluspidevuse,
reageerimis- ja taastekavad. Raamistiku osana töötatakse välja
16 https://www.esrb.europa.eu/pub/pdf/reports/esrb.report200219_systemiccyberrisk~101a09685e.en.pdf 17https://www.esrb.europa.eu/pub/pdf/reports/esrb.macroprudentialtoolscyberresilience220214~984a5ab3a7.en.pdf?888a06f
cb36d2c1ce41594efd67a4c88
6
varunduspõhimõtted ja -menetlused, ennistamise ja taastamise menetlused ja
meetodid, tagamaks IKT-süsteemide ja andmete ennistamine minimaalse
seisuaja, piiratud katkestuse ja kaoga.
Õpi ja arene Finantsasutusel peab olema suutlikkus ja personal, et koguda teavet
nõrkuste, küberohtude ja IKT intsidentide, eelkõige küberrünnete kohta,
ning analüüsida mõju, mida need võivad avaldada nende digitaalsele
tegevuskerksusele. Personali koolituskavade raames töötatakse välja
kohustuslike moodulitena IKT-turbe teadlikkuse suurendamise programmid
ja digitaalse tegevuskerksuse koolituse. Jälgida tuleb pidevalt ka tehnoloogia
arengut, muu hulgas selleks, et mõista uue tehnoloogia võimalikku mõju IKT
turvanõuetele ja digitaalsele tegevuskerksusele.
Suhtle Finantsasutus koostab kriisikommunikatsioonikavad, mis võimaldavad teha
klientidele ja vastaspooltele ning kohasel määral ka üldsusele
vastutustundlikult teatavaks vähemalt tõsiseid IKT intsidente või nõrkusi.
Personali kommunikatsioonipoliitikas võetakse arvesse vajadust eristada
töötajaid, kes osalevad IKT-riski juhtimises (eelkõige reageerimise ja taaste
eest vastutavaid töötajaid), ja töötajaid, keda tuleb teavitada.
B. IKT-ga seotud intsidendid ja küberohud ning nendest teavitamine
IKT-ga seotud
intsident
Finantsasutuse poolt planeerimata üksiksündmus või omavahel seotud
sündmuste jada, mis seab ohtu võrgu- ja infosüsteemide turvalisuse ning
mis avaldab negatiivset mõju andmete konfidentsiaalsusele,
kättesaadavusele, terviklusele ja autentsusele või finantssektori ettevõtja
osutatavatele teenustele.
Tõsine IKT-ga
seotud intsident
IKT-ga seotud intsident, millel on suur negatiivne mõju võrgu- ja
infosüsteemidele, mis toetavad finantssektori ettevõtja kriitilise
tähtsusega või olulisi funktsioone.
Küberoht Võimalik asjaolu, sündmus või tegevus, mis võib kahjustada või häirida
võrgu- ja infosüsteeme, nende kasutajaid ja teisi isikuid või neile muul
viisil halba mõju avaldada.
Oluline
kübeoht
Küberoht, mille tehnilised tunnused näitavad, et selle tulemuseks võib
olla IKT-ga seotud oluline intsident või tegevust või turvalisust mõjutav
maksetega seotud oluline intsident.
Finantsasutuse
kohustus:
- teavitada koheselt kliente, kui intsident neid mõjutab (finantshuvi);
- teavitada viivitamata FI-d, mille alusel FI hindab intsidendi tähtsust
ja piiriülest mõju (liikmesriigi valik – CSIRTi teavitamine);
- edastada FI-le vaheraport ja lõppraport, sealjuures vaheraport tuleks
esitada niipea, kui algse intsidendi staatus on oluliselt muutunud või
intsidendi käsitlemine on uue kättesaadava teabe põhjal muutunud.
Lõppraport esitatakse, kui analüüs on lõpule viidud, kuid see ei eelda,
et kõiki maandamismeetmeid on juba ka rakendatud.
- saab otsustada olulise küberohu korral ise, kas teavitab kliente ja
pädevaid asutusi.
FI kohustus: - teavitada finantsasutust, et ta on teate kätte saanud.
- teavitada intsidendist Euroopa Järelevalveasutusi (ESA-sid), Euroopa
Keskpanka (EKP) (asjakohasel juhul), riiklikke pädevaid asutusi,
CSIRTe, kriisilahendusasutusi ja muid asutusi vastavalt riigisisesele
õigusele.
FI võib:
- esitada tagasiside või anda kõrgetasemelisi suuniseid
finantsasutusele, tehes eelkõige kättesaadavaks asjakohast
7
anonüümitud teavet ja teadmust sarnaste ohtude kohta, ning võib
arutada parandusmeetmeid, mida kohaldatakse finantsasutuse
tasandil, ja viise negatiivse mõju minimeerimiseks ja leevendamiseks
kogu finantssektorile.
C. Digitaalse tegevuskerksuse testimine
Milleks
testitakse?
IKT-riskide juhtimisraamistiku osana tuleb luua digitaalse
tegevuskerksuse testimise kava, selleks et:
- hinnata valmisolekut intsidentide käsitlemiseks;
- tuvastada nõrgad kohad ja puudused süsteemides ja inimressursis;
- rakendada vajadusel parendusmeetmeid.
Kuidas
testitakse?
Finantsasutus peab läbi viima järgmised testimised:
- nõrkuse hindamised ja skaneerimised;
- avatud lähtekoodiga tarkvara analüüsid;
- võrguturvalisuse hindamised;
- lünkade analüüsid;
- füüsilise turvalisuse läbivaatamised;
- küsimustikud ja skaneerimistarkvara lahendused;
- võimaluse korral lähtekoodi ülevaatus;
- stsenaariumipõhised testid;
- ühilduvuse testimine ja jõudlustestid;
- läbiv- ja läbistustestimine;
- jne.
Mida/keda
testitakse?
Testitakse nii süsteeme, IKT-vahendeid jne, aga ka töötajaid.
Mis on
süvatestimine?
IKT süsteemide, protsesside ja vahendite süvatestimine:
- ohuteabel põhinev läbistustestimine (küberrünnete matkimine);
- iga 3a tagant (pädev asutus võib sagedust muuta);
- pädev asutus määrab testimises osalevad finantsasutused (välistatud
mikroettevõtjad ja need, kes kuuluvad leebema IKT riskijuhtimise
režiimi alla);
- testimine toimub live keskkonnas;
- lubatud nii välised testijad kui ka teatud tingimustel sisetestijad;
- testis osalevad ka kolmandast isikust IKT teenuseosutajad;
- Single public authority (LR võib määrata ühe asutuse, kes vastutab
testimisega seotud teemade eest);
- testimise tulemustest teavitatakse seda asutust, kes omakorda väljastab
tõendi, et testimine oli nõuetekohane.
D. Kolmanda isikuga seotud IKT-riskide juhtimine (IKT-teenuseosutajad)
Põhilised nõuded seoses kolmanda isikuga seotud IKT-riskide juhtimisega:
- nõuded IKT-teenuse edasiandmisele/lepingutele (uutele);
- teaberegister lepingute kohta, sealjuures eristades kriitilise tähtsusega või olulisi
funktsioone toetavaid IKT-teenuseid käsitlevaid lepinguid muudest lepingutest;
- FI teavitamine – kord aastas uutest lepingutest ning kohene teavitus lepingu kavatsusest,
kui IKT-teenus toetab kriitilise tähtsusega või olulisi funktsiooni;
- infoturbestandarditele vastavus. Finantsasutus võib sõlmida lepingu IKT
teenuseosutajaga, kes vastab asjakohastele infoturbestandarditele. Rangemad nõuded
teenuseosutajale, kui teenus toetab kriitilise tähtsusega ja olulisi funktsioone.
- väljumisstrateegia (alternatiivid teenuseosutaja kiireks asendamiseks);
8
- peamised lepingutingimused – teenuste kirjeldus, teenuse osutamise ja andmete
talletamise asukoht, isikuandmete kaitse, tähtajad ja kohustused, kohustus pakkuda selle
teenuseosutajaga seotud intsidendi korral tasuta või eelnevalt kokkulepitud hinnaga abi,
õigus jälgida teenusosutaja tegevust, kohustus teha koostööd pädeva asutusega, lepingu
lõpetamise õigused, väljumisstrateegiad, osalemine testimisel jne;
- eraldi ametikoht;
- kui lepingud on tehniliselt väga keerukad, kontrollib finantsasutus, kas audiitoritel on
piisavad oskused ja teadmised asjaomaste auditite ja hindamiste tõhusaks läbiviimiseks.
E. Järelevaatamine kriitilise tähtsusega kolmandast isikust IKT teenuseosutaja üle
Kuivõrd tegevuse edasiandmise ja kolmandast isikust IKT teenuseosutajate kontsentratsiooniga
võib kaasneda potentsiaalne süsteemne risk ning kuna riiklikud mehhanismid ei ole piisavad,
et tagada finantsjärelevalveasutustele asjakohased vahendid kriitilise tähtsusega kolmandast
isikust IKT teenuseosutajate IKT-riskide tagajärgede kvantifitseerimiseks, kvalifitseerimiseks
ja leevendamiseks, on DORA määrusega kehtestatud järelevaatamisraamistik, mis võimaldab
finantsjärelevalveasutustel pidevalt seirata selliste teenuseosutajate tegevust.
Järelvaatamisfoorum
(Oversight Forum)
Määrab, milline IKT teenuseosutaja on kriitilise tähtsusega.
Määrab igale kriitilise tähtsusega teenuseosutajale juhtiva
järelevaatamisasutuse, kelleks on üks ESA-dest.
Juhtiv
järelevaatamisasutus
(Lead Overseer)
Hindab, kuidas IKT teenuseosutaja juhib nõuetekohaselt IKT
riske, millel võib olla mõju finantsasutusele.
IKT teenuseosutajate peamine kontaktpunkt.
Võtab vastu koostöös järelevaatamisvõrgustikuga
järelevaatamise plaani iga kriitilise teenuseosutaja kohta.
Küsib IKT teenuseosutajalt teavet, aruandeid, annab soovitusi.
Viib läbi uurimisi ja kontrolle (moodustatakse joint examination
team).
Saab määrata IKT teenuseosutajale karistusi.
Järelevaatamisvõrgustik
(Joint Oversight
Network)
Võrgustikku kuuluvad kolm juhtivat järelevaatamisasutust ehk
kõik ESA-d.
Järelevaatamise koordineerimine ja rakendatavate õiguste
ühtlustamine.
F. DORA rakendamiseks vajalikud regulatiivsed ja rakenduslikud standardid
Kuna DORA määrust hakkavad täiendama ESA-de poolt välja töötatud regulatiivsed ja
rakenduslikud tehnilised standardid, on järgnevalt esitatud, mis kuupäevadeks peavad ESA-d
vastavate standardite eelnõud Euroopa Komisjonile esitama. Standardite eelnõud peaksid
aitama finantsasutustel DORA rakendamiseks vajalikke ettevalmistusi paremini planeerida
juba enne DORA rakendumistähtaega.
17. jaanuar
2024. a.
- IKT juhtimisraamistiku nõuete täpsustamine (art 15).
- Lihtsustatud IKT juhtimisraamistiku nõuete täpsustamine (art 16).
9
- IKT intsidentide liigitamise kriteeriumid, oluliste küberohtude
kindlaksmääramise kriteeriumid ja tõsiste IKT intsidentide olulisuse
hindamise kriteeriumid teistele pädevatele asutustele (art 18).
- Teaberegistri standardvorm, üksikasjad seoses kolmanda isikuga seotud
lepingutega, mis käsitlevad kriitilisi ja olulisi funktsioone toetavaid IKT
teenuseid (art 28).
17. juuli
2024. a.
- IKT intsidentide teavitamise vormid ja menetlused, raportite sisu ja
esitamise tähtajad, küberohtusid käsitletava teabe sisu (art 20).
- Süvatestimise kohaldamisala kriteeriumid, nõuded sisetestijatele,
testimismetoodika ja meetodid, testimise etapid, koostöö vastastikuse
tunnustamise jaoks (art 26).
- IKT teenuseosutaja alltöövõtulepinguga seotud tingimused (art 30).
- Järelevaatamise tingimused, sh kriitilisele IKT teenuseosutajale (art 41).
2.3. Väljatöötamiskavatsus ja valikukohad
2.3.1. Väljatöötamiskavatsus
Väljatöötamiskavatsust ei ole koostatud tulenevalt hea õigusloome ja normitehnika eeskirja §
1 lõike 2 punktist 2, kuivõrd eelnõu käsitleb EL õiguse rakendamist.
DORA määruse ja direktiivi eelnõuga koos koostas Euroopa Komisjon mõjuanalüüsi18:
„Impact assessment report – Accompanying the Document – Proposal for a Regulation of the
European Parliament and of the Council on digital operational resilience for the financial sector
and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014 and
(EU) No 909/2014.“
2.3.2. Valikukohad
A. DORA määruse valikukoht 1. Tõsistest IKT-ga seotud intsidentidest teavitamine ja
olulistest küberohtudest teavitamine.
Art 19 lg 1. „Finantssektori ettevõtjad teavitavad tõsistest IKT intsidentidest artiklis 46
osutatud asjaomasele pädevale asutusele kooskõlas käesoleva artikli lõikega 4. /…./ Ilma et see
piiraks finantssektori ettevõtja poolset esimese lõigu kohast asjaomase pädeva asutuse
teavitamist, võivad liikmesriigid lisaks otsustada, et mõned või kõik finantssektori ettevõtjad
esitavad pädevale asutusele või küberturbe intsidentide lahendamise üksustele, mis on määratud
või loodud direktiivi (EL) 2022/2555 kohaselt19, ka esialgse teate ja kõik raportid, millele on
osutatud käesoleva artikli lõikes 4, kasutades artiklis 20 osutatud vorme.“
Art 19. lg 2. „Finantssektori ettevõtjad võivad vabatahtlikult teatada asjaomasele pädevale
asutusele olulistest küberohtudest, kui nad peavad ohtu finantssüsteemi, teenusekasutajate või
klientide jaoks oluliseks. /…/ Liikmesriigid võivad otsustada, et need finantssektori ettevõtjad,
kes teatavad vabatahtlikult esimese lõigu kohaselt, võivad kõnealuse teate edastada ka direktiivi
(EL) 2022/2555 kohaselt määratud või loodud küberturbe intsidentide lahendamise üksustele.“
DORA määruse põhjenduspunktis 52 on selgitatud, et „lisaks peaks liikmesriikidel olema
võimalik kindlaks määrata, et finantssektori ettevõtjad peaksid ise esitama sellist teavet avaliku
sektori asutustele, mis ei kuulu finantsteenuste valdkonda. Need teabevood peaksid
18 https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52020SC0198 19 NIS2 direktiiv
10
võimaldama finantssektori ettevõtjatel kiiresti saada kasu kõnealuste asutuste asjakohasest
tehnilisest panusest, nõuannetest parandusmeetmete kohta ja edasistest järelmeetmetest.“
Vabariigi Valitsuse 17. detsembri 2020. aasta istungil kiideti heaks Eesti seisukohad EL
digirahanduse paketi kohta20, sealhulgas finantsteenuste digitaalse tegevuskerksuse
regulatsiooni kohta. Muu hulgas kiideti heaks seisukoht, et DORA määruse ettepanekus
kavandatud teavitamisnõuded peavad olema piisavalt paindlikud, et nõudeid saaks riigid
erinevate institutsionaalsete struktuuride korral ja teavitamiskohustusega subjektide suhtes
halduskoormust suurendamata säästlikult rakendada, sealhulgas järgides ühekordse teabe
edastamise või küsimise põhimõtet, et operatiivne info küberintsidendi kohta vajalikus ulatuses
ja mahus jõuaks viivitusteta asjaomaste riiklike pädevate asutusteni, sealhulgas küberturbe
intsidentide lahendamise üksuseni.
Tulenevalt DORA määruses ette nähtud liikmesriigi võimalusest, valitsuse positsioonist ja
huvirühmadega konsulteerimisel esitatud seisukohtades, on eelnõus võetud lähenemine, et
finantsasutus teavitab tõsistest intsidentidest ühekordse edastamisviisiga nii FI-d kui ka RIA-t,
kasutades selleks sama teavitusvormi (sama teavitusnormi kasutamine tuleb määrusest). Lisaks,
kui finantsasutus on otsustanud teavitada FI-d olulisest küberohust, teavitab ta sellest ka RIA-
t.
B. DORA määruse valikukoht 2. Ohutabel põhineva läbistustestimise eest vastutav riiklik
asutus.
Art 26 lg 9. „Liikmesriigid võivad määrata finantssektoris ühe avaliku sektori asutuse, kes
vastutab riiklikul tasandil ohuteabel põhineva läbistustestimisega seotud küsimuste eest
finantssektoris, ning annavad talle kõik selleks vajalikud volitused ja ülesanded.“
Põhjenduspunkt 58 selgitab lisaks, et selleks, et tugineda teatavate pädevate asutuste poolt juba
omandatud eksperditeadmistele, eelkõige seoses TIBER-EU raamistiku rakendamisega, peaks
määrus võimaldama liikmesriikidel määrata ühe avaliku sektori asutuse, kes vastutab riiklikul
tasandil kõigi ohuteabel põhinevate läbistustestidega seotud küsimuste eest finantssektoris, või
pädevad asutused, kes sellise määramise puudumisel delegeeriksid ohuteabel põhinevate
läbistustestidega seotud ülesannete täitmise mõnele muule riiklikule finantssektori pädevale
asutusele.
Kuna üldine printsiip on, et FI on järelevalve eest vastutav asutus finantssektoris (mh IT/küber
küsimused, mis on tavapärane järelevalveline osa), siis on ka eelnõu koostamisel võetud
lähenemine, et artikli 26 lõike 9 kohaselt ei määrata eraldi asutust, kes vastutab ohuteabel
põhinevate läbistustestidega seotud küsimuste eest finantssektoris, kuid koostöösätetega
tagatakse, et FI teeb RIA-ga koostööd, muu hulgas seoses finantsasutuste ohuteabel põhinevate
läbistustestimistega. Võttes arvesse RIA küberkerksuse kompetentsi ning asjaolu, et tegemist
on KüTS kohaselt ka küberturvalisuse pädeva asutusega, on oluline tagada hea ja sujuv koostöö,
et finantsasutuste testimised viiakse läbi nõuetekohaselt ja tänu teabe vahetamisele on asutustel
olemas kogu vajalik teave nii testide läbiviimise kui ka tulemuste kohta.
Siinjuures on oluline juhtida tähelepanu asjaolule, et kuna oluliste krediidiasutuste puhul on
pädevaks asutuseks Euroopa Keskpank, kelle järelevalve alla kuulub 1. märtsi 2023. a seisuga
110 institutsiooni, neist 4 Eesti krediidiasutust ning süvatestimise kohustus on eelkõige olulistel
20 https://eelnoud.valitsus.ee/main/mount/docList/c969654c-9691-4b71-abb1-7baa3e665d13
11
krediidiasutustel21, siis artikli 26 lõike 9 kohaselt muu vastutava asutuse määramine teatud
ülesannete täitmiseks võib pigem järelevalve rolli, õigusi ja terviklikkust hägustada.
C. DORA määruse valikukoht 3. Hoiu-laenuühistutele DORA kohaldamine.
Art 2 lg 4. „Liikmesriigid võivad käesoleva määruse kohaldamisalast välja arvata direktiivi
2013/36/EL artikli 2 lõike 5 punktides 4–23 osutatud üksused, mis asuvad nende vastaval
territooriumil. Kui liikmesriik otsustab vastavale asutusele DORA määrust kohaldada, siis
kohaldub neile IKT-riskide juhtimisraamistiku lihtsustatud režiim.“
Direktiivi 2013/36/EL artikli 2 lõike 5 punktis 6 on viidatud Eesti puhul hoiu-laenuühistutele,
mis on hoiu-laenuühistu seaduse kohaselt tunnustatavad ühistud.
Seega kohalduvad DORA määruses sätestatud digitaalse tegevuskerksuse nõuded mh hoiu-
laenuühistutele ning vaid juhul, kui liikmesriik otsustab rakendada DORA määruse artikli 2
lõike 4 valikut, jäävad hoiu-laenuühistud DORA määruse alt välja. Konsulteerides
huvirühmadega, selgus, et DORA nõuete kohaldamine hoiu-laenuühistutele oleks asjakohane,
kuid see eeldaks, et nad on finantsjärelevalve subjektid. Kuna hoiu-laenuühistud ei ole
finantsjärelevalve subjektid, on nende suhtes keeruline DORA määruse nõudeid kohaldada,
kuna suur osa sätteid on seotud pädeva asutuse rolliga (intsidentidest teavitamine jne), mistõttu
on käesoleva eelnõu puhul võetud lähenemine, et käesoleval hetkel nende suhtes DORA
määruse nõuded ei kohaldu.
Samas, kui liikmesriik otsustab hoiu-laenuühistu jätta DORA määruse kohaldamisalasse, siis
DORA määruses sätestatud nõuete täitmise üle peaks määruse artikli 46 kohaselt järelevalvet
teostama sama asutus, kes on ka krediidiasutuse pädev asutus ehk selleks peaks olema FI.
Eelnõu väljatöötamisel oli kaalumisel ka variant, et kui hoiu-laenuühistud jätta DORA määruse
kohaldamisalast välja, siis alternatiivina oleks võimalik neile ka KüTS küberturvalisuse
nõudeid kohaldada ja RIA oleks sellisel juhul pädevaks asutuseks. Siiski on ka NIS2 direktiivi
artikli 2 lõikes 10 sätestatud, et käesolevat direktiivi ei kohaldata üksuste suhtes, mille
liikmesriigid on kooskõlas määruse (EL) 2022/2554 artikli 2 lõikega 4 kõnealuse määruse
kohaldamisalast välja jätnud.
Kuna hoiu-laenuühistute seaduseelnõu22 menetlus on veel pooleli, siis hetkel on võetud
lähenemine, et hoiu-laenuühistutele ei kohaldata DORA nõudeid. Oluline on siinjuures
tähelepanu juhtida asjaolule, kui hoiu-laenuühistust peaks saama ühistupank, siis kohalduvad
talle viidatud seaduseelnõu kohaselt KAS nõuded, mis hõlmavad endas ka kohustust rakendada
DORA määruses sätestatud nõuded.
D. DORA määruse valikukoht 4. Kriminaalkaristused
Art 52 lg 1. Liikmesriigid võivad otsustada mitte kehtestada halduskaristusi või
parandusmeetmeid käsitlevaid õigusnorme selliste rikkumiste suhtes, mille suhtes kohaldatakse
nende riiklikus õiguses kriminaalkaristusi.
21 See veel selgub, millised finantsasutused peavad süvatestimisi läbi viima, kuid eelduslikult on nendeks näiteks olulised
pangad ja börs. 22 https://eelnoud.valitsus.ee/main/mount/docList/db5ae432-6d08-4896-972c-101c32e9d2ce
12
Kuna analoogne liikmesriigi otsustuskoht on ka teistest EL finantssektori direktiivides ja
määrustes ning Eesti puhul on võetud lähenemine mitte seda valikut rakendada, siis on otsustad
ka käesoleva eelnõu raames jääda sellise lähenemise juurde.
E. DORA pädev asutus
Tegemist ei ole liikmesriigi valikukohaga, kuid huvirühmadega konsultatsiooni käigus tõstatus
teema, milline asutus on pädev asutus DORA määruses sätestatud ülesannete täitmisel ja
järelevalve teostamisel.
DORA järelevalvet on määratud teostama finantsjärelevalve asutus - DORA pädev asutus on määratletud DORA määruse artiklis 46;
- tegemist on sama asutusega, kes teostab finantsjärelevalvet finantsasustuse üle;
- DORA määruse artiklis 46 on viited finantssektori EL direktiividele ja määrustele, mis
reguleerivad finantsasutuste tegevust ja järelevalvet. Liikmesriik on pidanud määrama
pädeva asutuse, kes teostab EL finantssektori direktiivides ja määrustes sätestatud nõuete
täitmise üle järelevalvet;
- Eestis teostab artiklis 46 viidatud EL direktiivides ja määrustest sätestatud nõuete täitmise
üle järelevalvet FI. Oluliste krediidiasutuste puhul on pädevaks asutuseks Euroopa
Keskpank;
- selleks, et muu asutuse (nt RIA) saaks määrata DORA pädevaks asutuseks, tuleks Eestis
finantsjärelevalve korraldus ümber teha.
Eesti finantsjärelevalve korraldust ei ole käesoleva eelnõu raames muudetud
- Eestis on finantssektori järelevalvealane kompetents antud täies mahus FI-le;
- DORA määruse väljatöötamisel liidus otsustati määrata pädevaks asutuseks sama asutus,
kes vastutab finantsjärelevalve eest finantssektoris, tagades sedasi, et finantsjärelevalve
asutusel on tervikpilt kõikidest finantssektori riskidest, sh IKT-riskidest;
- IKT-riskide juhtimine on osa finantsasutuse riskijuhtimissüsteemist. Riskipõhiste
kapitalinõuete puhul ka osa kapitalijuhtimisest, mistõttu ei saa finantsasutuse küberriske
vaadelda eraldiseisvalt, vaid see moodustab koos teiste riskide ja finantsasutuse
tegevusvaldkondadega terviku;
- IKT- riskide järelevalve on oluline osa finantsasutuse operatsiooniriskide järelevalvest;
- IKT-teenuste edasiandmine on osa finantsasutuse teenuste ja tegevuste edasiandmise
raamistikust;
- finantssektor on terviklik, mida tuleb vaadelda kompaktselt ning järelevalve pädevuse
jagamisega teatud valdkondades ei ole võimalik tagada finantssektori järjepidevust,
stabiilsust ja usaldusväärsust;
- IKT-d ja selle raames küberturvalisuse põhimõtete rakendamist tuleb vaadelda kui tehnilist
lahendust ja üht valdkonda mitmekülgsest finantssektorist;
- FI-l on olemas finantssektori eripärade tundmine ja vajalike järelevalveliste meetmete
rakendamisel parim teadmine, sealhulgas teadmised, millised on konkreetse subjekti puhul
just need asjakohased meetmed, mis on piisavad ühelt poolt rikkumiste kõrvaldamiseks,
kuid teiselt poolt ei seaks rakendatavad meetmed ohtu finantssektori korrapärast toimimist
ja klientide huve;
- FIS § 3 kohaselt teostab Finantsinspektsioon riiklikku finantsjärelevalvet finantssektori
stabiilsuse, usaldusväärsuse ja läbipaistvuse ning toimimise efektiivsuse suurendamise,
süsteemsete riskide vähendamise ning finantssektori kuritegelikel eesmärkidel
ärakasutamise tõkestamisele kaasaaitamise eesmärgil, et kaitsta klientide ja investorite huve
nende vahendite säilimisel ning seeläbi toetada Eesti rahasüsteemi stabiilsust;
13
- määrates muu asutuse finantsjärelevalve pädevaks asutuseks, ei pruugi sellel asutusel olla
teadmisi finantssektori eripäradest ning tõhusatest, efektiivsetest ja tulemuslikuks
järelevalve teostamiseks vajalikest mitmetahulistest ja terviklikest protsessidest.
Näide järelevalve terviklikkuse kohta:
- näide 1. Krediidiasutuste tegevus on reguleeritud direktiivis 2013/36/EL. Direktiivi
artikli 74 lõike 1 kohaselt: „Finantsinstitutsioonidel peab olema kindel äriühingu juhtimise
korraldus, mis hõlmab selget organisatsioonilist ülesehitust, mille puhul vastutusalad on
selgesti määratletud, läbipaistvad ja järjepidevad, tõhusaid protseduure riskide või
võimalike riskide kindlaksmääramiseks, juhtimiseks, jälgimiseks ja nendest teatamiseks,
piisavat sisekontrollikorda, sealhulgas usaldusväärne juhtimis- ja raamatupidamiskord,
võrgu- ja infosüsteeme, mis on loodud ja mida hallatakse kooskõlas määrusega (EL)
2022/2554, ning tasustamispoliitikat ja -tavasid, mis on kooskõlas usaldusväärse ja tõhusa
riskijuhtimisega ja edendavad seda.“
- näide 2. Direktiivi 2014/65/EL artikli 16 lõike 4 kohaselt: „ Investeerimisühing võtab
mõistlikke meetmeid, et tagada investeerimisteenuste osutamise ning investeerimistegevuse
järjepidevus ja korrapärasus. Selleks kasutab investeerimisühing sobivaid ja
proportsionaalseid süsteeme, sealhulgas info- ja kommunikatsioonitehnoloogia (IKT)
süsteeme, mis on loodud ja mida hallatakse Euroopa Parlamendi ja nõukogu määruse (EL)
2022/2554 artikli 7 kohaselt, samuti sobivaid ja proportsionaalseid ressursse ja
protseduure.“
- näide 3. Makseasutuste direktiivi artikli 19 lõike 6 kohaselt ei või oluliste tööülesannete,
sealhulgas IKT-süsteemide edasiandmine toimuda viisil, mis kahjustab oluliselt
makseasutuse sisekontrolli kvaliteeti ja pädevate asutuste võimet kontrollida ja jälgida, et
makseasutused täidavad kõiki selles direktiivis sätestatud kohustusi.
- näide 4. Kindlustusdirektiivi 2009/138/EÜ artikli 41 kohaselt võtavad kindlustus- ja
edasikindlustusandjad vajalikud meetmed, et tagada oma ülesannete täitmisel, sealhulgas
eriolukordi käsitlevate plaanide väljatöötamisel, järjepidevus ja korrapärasus. Kindlustus-
ja edasikindlustusandjad kasutavad selleks asjakohaseid ja proportsionaalseid süsteeme,
ressursse ja menetlusi ning loovad eelkõige võrgu- ja infosüsteemid ja haldavad neid
kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) 2022/2554
- näidete kohaselt ei ole FI-l võimalik teostada krediidiasutuse juhtimise korralduse,
investeerimisühingu ja kindlustusandja süsteemide ning makseasutuse tegevuste
edasiandmise nõuete üle terviklikku järelevalvet, jättes järelevalvest välja võrgu- ja
infosüsteemide järelevalve.
- analoogsed näited on finantssektori EL õigusaktides veel.
Finantssektori IKT-riskide järelevalve seni:
- nagu eespool osutatud, on IKT riskid osa finantssektori riskijuhtimisest ning FI on IKT-
riskide alast järelevalvet teostanud aastataid;
- finantsasutused on pidanud aastaid järgima FI kehtestatud nõudeid finantsjärelevalve
subjekti infotehnoloogia ja infoturbe korraldusele23, nõudeid finantsjärelevalve subjekti
talitluspidevuse korraldusele, EBA suuniseid IKT- ja turvariskide juhtimiseks24 ning
23 https://www.fi.ee/sites/default/files/2020-
06/N%C3%B5uded%20finantsj%C3%A4relevalve%20subjekti%20infotehnoloogia%20ja%20infoturbe%20korraldusele_%2
0kinnitatud.pdf 24 https://fi.ee/sites/default/files/2020-
03/pp%20nr%2008%20Final%20draft%20Guidelines%20on%20ICT%20and%20security%20risk%20management_COR_E
T.pdf
14
EIOPA info- ja kommunikatsioonitehnoloogia turbe- ja juhtimissuuniseid25 ja pilveteenuse
osutajatele tegevuse edasiandmise suunised26. Nõuete täitmise üle teostab järelevalvet FI;
- DORA on suures ulatuses koostatud viidatud EBA ja EIOPA suuniste baasilt ning FI-l on
praktika ja protsessid loodud vastava järelevalve teostamiseks;
- seega ei ole IKT-riskide järelevalve ja DORA määrusest tulenevad nõuded FI jaoks midagi
uut;
- FI järelevalveprotsesside ja -vahendite hulka kuuluvad mh SREP27 hinnangud, erinevad
analüüsid, kohapealsete kontrollide läbiviimine, koostöö Euroopa järelevalveasutustega ja
vastavates töögruppides osalemine ning teabe ja praktika jagamine jne;
- FI enda hinnangul võib senist järelevalvet hinnata edukaks, kuna antud perioodil puuduvad
täielikult olulise mõjuga suuremad intsidendid, mis oleks tulenenud küberriski
realiseerumisest finantssektoris;
- FI on alustanud DORA määruse rakendamiseks vajalike esmaste tegevuste ja protsessidega,
et DORA määruse nõudeid veelgi edukamalt rakendada.
Puudub mõjuanalüüs finantsjärelevalve korralduse ümber tegemise kohta
- finantssektor järelevalves ümberkorralduste tegemine eeldab põhjalikku mõjuanalüüsi,
sealhulgas seoses mõjuga riigieelarvele;
- RIA-le finantsjärelevalves osalise pädevuse andmine omab olulist mõju riigieelarvele
(riigieelarve suurendamine), kuna tuleb arvestada täiendavate kuludega (RIA järelevalve
alla kuuluks ligemale 100 finantsasutust, sh krüptovarateenuse osutajad);
- RIA hakkaks kuuluma Euroopa järelevalvesüsteemi28, olles pädev asutus EBA, EIOPA ja
ESMA määruste tähenduses29 ja kohustudes järgima viidatud määrustes pädevatele
asutustele kohalduvaid nõudeid, sealjuures täitma EBA, EIOPA ja ESMA suuniseid ja
soovitusi, esitama EBA-le, EIOPA-le ja ESMA-le regulaarselt teavet nende ülesannete
täitmiseks ning osalema EBA, EIOPA ja ESMA töögruppides;
- seega, lisaks kulude suurenemisega seoses DORA nõuete järelevalvega, kaasnevad
täiendavad kulud seoses kuulumisega Euroopa järelevalvesüsteemi. EBA, EIOPA ja ESMA
eelarve moodustub osaliselt pädevate asutuste osamaksetest;
- samuti moodustatakse DORA alusel tekkiva kriitilise tähtsusega kolmandast osapoolest
IKT teenuseosutajate liiduülese järelevaatamise kohustuse täitmiseks vastav järelevalve just
finantssektori järelevalveasutuste ressurssidest;
- kui jätkata olemasolevat finantsjärelevalve poliitikat, kus finantssektori järelevalve
teostamine on vaid FI pädevuses, mõju riigieelarvele puudub;
- Eestis kehtiva finantssektori rahastusmudeli puhul maksavad järelevalvesubjektid
järelevalvetasu FI-le ja seeläbi finantseerivad järelevalve teostamist;
- finantssektori järelevalvekorralduse ümber tegemise korral tuleks riigieelarvet kasutada ka
finantsjärelevalve eesmärkide realiseerimiseks. Viimaste tarbeks ongi loodud eelnevalt
kirjeldatud rahastusmudel, mis ei sõltu riigieelarve vahenditest.
Teised riigid
- teadaolevalt ka teiste Euroopa riikide (nt Läti, Leedu ja Soome) korral DORA pädevaks
asutuseks just finantsjärelevalve asututus;
25 https://fi.ee/sites/default/files/2021-06/pp%20nr%2006%20eiopa-gls-ict-security-and-governance-et.pdf 26 https://fi.ee/sites/default/files/2020-
06/pp%20nr%2003%20Guidelines%20on%20outsourcing%20to%20cloud%20service%20providers%20-%20ET.pdf 27 Supervisory review 28 https://www.europarl.europa.eu/factsheets/et/sheet/84/euroopa-finantsjarelevalve-susteem 29 EBA määruse näitel on pädevad asutused määratletud artikli 4 punktis 2 ehk kui määrata näiteks RIA määruse (EL) nr 575/2013 artikli 4 lõike 1 punkti 40 kohaselt kaas pädevaks asutuseks, oleks RIA pädev asutus ka EBA
määruse tähenduses. Sama on EIOPA ja ESMA määrustega.
15
- kogu Euroopa mudel on üles ehitatud selliselt, et pädev asutus on finantsjärelevalveasutus
ning hetkel ei ole teada ühtegi näidet, kus sedalaadi pädevus viiakse ära finantsjärelevalve
asutusest;
- finantsjärelevalveasutusi koondavad töögrupid, erinevad (kriisi)harjutused jne lähtuvad just
sellest põhimõttest, et finantssektori pädev järelevalveasutus on pädevaks asutuseks ka
DORA määruse alusel.
Koostöö
- DORA määrus näeb ette mitmeid võimalusi koostööks NIS2 pädeva asutusega;
- eelnõus on ette nähtud uus FIS paragrahvi, mis reguleerib koostööd küberturvalisuse
valdkonnas (vt selgitusi FIS § 4711 juures), mis annab võimaluse kaasata DORA nõuete
järelevalvesse ka RIA, nähes muu hulgas ette teabe vahetamise õigused;
- teavitused tõsistest IKT-intsidentidest edastatakse mh RIA-le (vt valikukoht 1) ning DORA
ei piira RIA võimalusi abistada finantsasutusi, sealjuures on DORA määruse artikli 22 lõike
1 sissejuhatavas osas selge viide, et NIS2 pädeva asutus saab vastavalt liikmesriigi õigusele
pakkuda finantsasutusele tehnilist panust, nõuandeid või parandusmeetmeid ning
järelmeetmeid;
- seega on RIA kaasatud oma küberturbe pädevusega finantssektori järelevalvesse.
2.4. Sihtrühm
Sihtrühma kuuluvad Eestis tegevusloa või registreeringu alusel tegutsevad finantsasutused.
Tabelis 1 on välja toodud DORA määruse kohaldamisalasse kuuluvad ja mitte kuuluvad
finantsasutused, Eestis asutatud finantsasutuste arv ja proportsionaalsuse rakendamise
põhimõtted.
Finantsasutused Arv Proportsionaalsuse põhimõte:
Krediidiasutused 9 - mikrodele30 leevendused ptk-des 2, 4 ja 5.
Makseasutused (sulgudes
erandi alla kuuluvad asutused)
12 (4) - mikrodele leevendused ptk-des 2, 4 ja 5.
- leebem IKT-riskijuhtimise režiim (ptk 2)
erandi alla kuuluvatele makseasutustele.
E-raha asutused 2 - mikrodele leevendused ptk-des 2, 4 ja 5.
- leebem IKT-riskijuhtimise režiim (ptk 2)
erandi alla kuuluvatele e-raha asutustele.
Kindlustusandjad 9 - mikrodele leevendused ptk-des 2, 4 ja 5.
Kindlustusmaaklerid, kellel
hakkab DORA kohalduma
(sulgudes maaklereid kokku)
0 (40) - DORA määrus ei kohaldu mikrodele,
väikestele31 ja keskmise suurusega32
kindlustusvahendajatele.
Kindlustusagendid, kellele
hakkab DORA kohalduma
(sulgudes agente kokku)
0 (378) - DORA määruse ei kohaldu mikrodele,
väikestele ja keskmise suurusega
kindlustusvahendajatele.
Fondivalitsejad
12 - mikrodele leevendused ptk-des 2, 4 ja 5.
- kohustusliku ja täiendava pensionifondi
valitsejatele DORA ei kohaldu.
30 kus töötab vähem kui 10 inimest ning kelle aastakäive ja/või aastabilansi kogumaht ei ületa 2 miljonit eurot 31 töötab 10 või rohkem inimest, kuid vähem kui 50 inimest ja kelle aastakäive ja/või aastabilansi kogumaht ületab 2 miljonit
eurot, kuid ei ületa 10 miljonit eurot 32 kes ei ole väikeettevõtja ja kus töötab vähem kui 250 inimest ning kelle aastakäive ei ületa 50 miljonit eurot ja/või
aastabilanss ei ületa 43 miljonit eurot
16
Tegevusloaga väikefondi
valitsejad
(6) - DORA määrus neile ei kohaldu.
Registreeritavad väikefondi
valitsejad
(75) - DORA määrus neile ei kohaldu.
Investeerimisühingud 9 - mikrodele leevendused ptk-des 2, 4 ja 5.
- leebem IKT-riskijuhtimise režiim (ptk 2)
väikestele ja mitteseotud
investeerimisühingutele.
Reguleeritud turu korraldaja 1 - mikrodele leevendused ei kohaldu.
Väärtpaberiarveldussüsteemi
korraldaja
1 - mikrodele leevendused ei kohaldu.
Väärtpaberituru
kauplemiskohad
1 - mikrodele leevendused ei kohaldu.
Keskne vastaspool 0 - mikrodele leevendused ei kohaldu.
Aruandlusteenuse osutaja 0 - mikrodele leevendused ptk-des 2, 4 ja 5.
Ühisrahastusteenuse osutajad 2 - mikrodele leevendused ptk-des 2, 4 ja 5.
Hoiu-laenuühistud (17)33 - leebem IKT-riskijuhtimise režiim (ptk 2).
Eesti ei kohalda hoiu-laenuühistutele
määrust.
Tööandja kogumispensioni
asutused
0 - DORA määrus ei kohaldu IORP-dele, kus
vähem kui 15 liiget.
- leebem IKT-riskijuhtimise režiim (ptk 2)
kuni 100 liikmega IORP-idele.
Krüptovarateenuse osutajad
(MICAR tegevusloaga)
034 - mikrodele leevendused ptk-des 2, 4 ja 5.
Varapõhiste tokenite emitendid
(MICAR tegevusloaga)
0 - mikrodele leevendused ptk-des 2, 4 ja 5.
Tabel 1. DORA kohaldamisalasse kuuluvate finantsasutuse arv.
DORA määruse kohaldamisalasse kuuluvad ka kriitilise tähtsusega kolmandast isikust IKT
teenuseosutajad, kuid hetketeadmise kohaselt ükski Eesti ettevõtja pole määratletav kriitilisena.
Näiteks on tegemist pilv-, tarkvara- ja andmeanalüüsiteenuste osutajate ning andmekeskuse
teenuste osutajatega, kuid lisaks peavad olema täidetud mitmed kriitilise IKT teenuseosutaja
kriteeriumid.
2.5. DORA määruse seos liidu tasandil kehtestatud horisontaalne küberturvalisuse
raamistiku ja elutähtsa teenuseosutaja toimepidevuse nõuetega
EL Teatajas avaldati paralleelselt DORA määruse ja DORA direktiiviga NIS2 ning CER
direktiivid. Samas, kui DORA nõudeid tuleb kohaldama hakata 17. jaanuarist 2025. a, siis NIS2
ja CER direktiivides on ette nähtud, et nendest direktiividest tulenevad nõuded kohalduvad
18. oktoobrist 2024.a.
Õiguse kohaldamine
33 https://statistika.eestipank.ee/failid/mbo/hly.html 34 Käesoleval hetkel ei ole veel võimalik MICAR alusel tegevusluba taotleda. 2024. aasta aprilli seisuga on RahaPST alusel
tegutsemas 49 virtuaalvääringuteenuse pakkujat.
17
Kuna NIS2 direktiivi ja CER direktiiviga on mh hõlmatud krediidiasutused, kauplemiskohad ja
kesksed vastaspooled, on oluline üheselt aru saada, milliseid nõudeid ja mis ulatuses
krediidiasutused, kauplemiskohad ja kesksed vastaspooled järgima peavad.
NIS2 direktiivi kohaldatakse direktiivi I või II lisas osutatud sellist liiki avalik-õiguslike või
eraõiguslike üksuste suhtes, mis kvalifitseeruvad soovituse 2003/361/EÜ35 lisa artikli 2
kohaselt keskmise suurusega ettevõtjateks või ületavad kõnealuse artikli lõikes 1 sätestatud
keskmise suurusega ettevõtja piirmäärasid, ning osutavad teenuseid või tegutsevad liidus. NIS2
direktiivi I lisa punktides 3 ja 4 on kriitilise tähtsusega sektorina välja toodud pangandussektor
ja finantsturutaristud. Samas kohaldatakse NIS2 direktiivi lisaks ka üksuste suhtes (olenemata
nende suurusest), kui neid käsitatakse CER direktiivi kohaselt elutähtsa teenuse osutajatena
(edaspidi ETO) või kui üksuse osutatava teenuse häire võib tuua kaasa olulise süsteemse riski,
eelkõige sektorites, kus sellisel häirel võib olla piiriülene mõju.
DORA määruse põhjenduspunktis nr 16 on selgitatud, et DORA määrus on NIS2 suhtes lex
specialis. NIS2 direktiivi põhjenduspunkt 28 selgitab lisaks, et NIS2 direktiivi sätete asemel
tuleks kohaldada DORA määruse sätteid, mis käsitlevad IKT riskijuhtimist, IKT intsidentide
haldamist ja eelkõige tõsistest IKT intsidentidest teavitamist, samuti digitaalse tegevuskerksuse
testimist, teabevahetuse kokkuleppeid ja kolmandatest isikutest tulenevat IKT-riski. Seetõttu ei
tohiks liikmesriigid NIS2 direktiivi sätteid, mis käsitlevad küberturvalisuse riskijuhtimist ja
teatamiskohustust, järelevalvet ja täitmise tagamist, DORA määruse kohaldamisalasse jäävate
finantssektori ettevõtjate suhtes kohaldada. Siiski peaksid liikmesriigid jätkuvalt kaasama
finantssektori oma küberturvalisuse strateegiatesse. DORA määruse kohaldamisalasse
kuuluvate üksuste suhtes tuleks ka edaspidi kohaldada sätteid, mis käsitlevad küberkriiside
ohjamise raamistikke (NIS2 direktiivi artikkel 9) ja EU - CyCLONe’i (NIS2 direktiivi artikkel
16)36. Kuivõrd on oluline, et NIS2 direktiivi alusel säiliksid tugevad suhted ja teabevahetus
finantssektoriga, võivad Euroopa järelevalveasutused ja DORA määruse alusel pädevad
asutused taotleda osalemist koostöörühma tegevuses ning vahetada teavet ja teha koostööd
ühtsete kontaktpunktidega, aga ka CSIRTidega ja NIS2 direktiivi kohaste pädevate asutustega.
NIS2 direktiivi artikli 24 lõike 1 teise lause kohaselt peaksid liikmesriigid ergutama elutähtsaid
ja olulisi üksusi kasutama kvalifitseeritud usaldusteenuseid.
CER direktiivi artikli 6 kohaselt identifitseerib liikmesriik elutähtsa teenuse osutajad sellistes
valdkondades nagu pangandus, kauplemiskohad ja kesksed vastaspooled.
CER direktiivi põhjenduspunkt 21 selgitab, et kuna finantssektori ettevõtjate toimepidevus on
põhjalikult hõlmatud DORA regulatsiooniga, ei tuleks selliste ettevõtjate suhtes kohaldada
CER direktiivi artiklit 11 ning III, IV ja VI peatükki, et vältida dubleerimist ja ebavajalikku
halduskoormust (vt ka artiklit 8). Lisaks selgitab viidatud põhjenduspunkt, et võttes arvesse
finantssektori ettevõtjate poolt kõikidesse muudesse sektoritesse kuuluvate elutähtsate teenuse
osutajatele osutatavate teenuste olulisust, peaksid liikmesriigid CER direktiiviga ette nähtud
kriteeriumide põhjal ja selles sätestatud menetlust kohaldades identifitseerima sellised
finantssektori ettevõtjad elutähtsa teenuse osutajana ning kohaldama nende suhtes CER
direktiivi II peatükis sätestatud strateegiaid, liikmesriigi riskianalüüse ja toetusmeetmeid.
Lisaks on artikli 8 teises lauses sätestatud, et liikmesriigid võivad vastu võtta või säilitada
liikmesriigi õigusnormid, millega saavutada kõnealuste elutähtsa teenuse osutajate
toimepidevuse kõrgem tase, tingimusel et need õigusnormid on kooskõlas kohaldatavate liidu
õigusenormidega (vt HOS eelnõu ja seletuskirja).
35 https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32003H0361 36 Vt ka https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX:52023XC0918(01)
18
Koostöö ja küberturvalisuse strateegia
DORA määrus võimaldab Euroopa järelevalveasutustel ja finantsjärelevalve pädevatel
asutustel osaleda koostöörühma tegevuses ning vahetada teavet ja teha koostööd ühtsete
kontaktpunktide37, samuti küberturbe intsidentide lahendamise üksuste (CSIRT) ja
küberturvalisuse pädevate asutustega. Näiteks peavad finantsjärelevalve pädevad asutused
edastama tõsiste IKT intsidentide ja asjakohasel juhul oluliste küberohtude üksikasjad ka
CSIRTidele, pädevatele asutusele või ühtsetele kontaktpunktidele. See saavutatakse vahetu
juurdepääsu tagamisega intsidenditeadetele ja nende otsese või intsidenditeadete ühtse
kontaktpunkti edastamise kaudu.
Lisaks peaksid liikmesriigid jätkuvalt kaasama finantssektori oma küberturvalisuse
strateegiatesse ning CSIRTid võivad oma tegevuses hõlmata ka finantssektorit.
Kokkuvõte
DORA CER (ETO) NIS2 (ETO ja
keskmise suurusega
või suurem ettevõtja)
Krediidiasutused
ja
finantsturutaristud
Kohaldub täies
ulatuses.
Kohaldub CER
direktiivi II peatükk;
Ei kohaldata CER
direktiivi art 11 ning
III, IV ja VI peatükki.
Liikmesriigid võivad
vastu võtta või
säilitada liikmesriigi
õigusnormid, millega
saavutada kõnealuste
elutähtsa teenuse
osutajate
toimepidevuse
kõrgem tase.
Ei kohaldata IKT
riskijuhtimist, IKT
intsidentide
haldamist ja nendest
teavitamist,
digitaalse
tegevuskerksuse
testimist,
teabevahetuse
kokkuleppeid ja
kolmandatest
isikutest tulenevate
IKT-riskidega seotud
sätteid.
Pädev asutus
seoses
krediidiasutuse ja
finantsturutaristu
järelevalvega
FI;
EKP (olulised
krediidiasutused).
FI/EKP, kui
liikmesriik ei otsusta
CER II peatüki
pädeva asutuse
kohustusi anda
teisele pädevale
asutusele.
RIA
Koostöö FI/EKP õigus osaleda
NIS2 art 14
koostöörühmas.
FI teavitab tõsistest
intsidentidest RIA-t ja
asjakohasel juhul
muid avaliku sektori
asutusi.
Koostöö NIS2 päeva
asustusega.
Kuna DORA pädev
on teatud juhtudel ka
CER pädev asutus,
siis peab tegema
koostööd ka teis(t)e
CER pädeva(te)
asutus(te)ga.
Art 13 – RIA
koostöö, sh teabe
vahetamine DORA
(FI/EKP) ja CER
pädevate asutustega
ja muude artiklis
loetletud asutustega.
37 Iga liikmesriik määrab küberturvalisuse pädevate asutuste seast ühe kontaktpunkti, mis täidab sidepidamisfunktsiooni, et
tagada oma liikmesriigi ametiasutuste piiriülene koostöö teiste liikmesriikide asjaomaste asutustega ning asjakohasel juhul
komisjoni ja ENISAga ning ka valdkondadevaheline koostöö oma liikmesriigi teiste pädevate asutustega.
19
FI/EKP saab
vajadusel
konsulteerida RIA ja
muu liikmesriigi
NIS2 pädeva
asutusega.
2.6. Eelnõu kooskõla EV põhiseadusega (PS)
2.6.1. Eelnõuga riivatakse ettevõtlusvabadust (PS § 31), kuna seadusega kehtestatakse nõuded
finantsasutuste digitaalsele tegevuskerksusele. Ettevõtlusvabadus annab isikule õiguse nõuda,
et avalik võim ei sekkuks tema ettevõtlusena käsitatavasse tegevusse. Ettevõtlusvabadust võib
piirata seadusega. Finantsasutustele on nende tegevuse iseloomust tulenevalt avalikkusel
kõrgemad ootused ja nõuded, seetõttu on nendele kehtestatud ulatuslikult regulatsioone nii EL
tasandil kui siseriiklikult. Antud juhul peavad ettevõtjad digitaalse tegevuskerksuse nõuete
rakendamiseks teatud ümberkorraldusi tegema, nt juhtimisstruktuuri tõhustamine. Samuti
peavad nad EL ja seaduse nõuetega kooskõlla viima IKT riskide juhtimise nõuded, sh nõuded
küberturvalisuse tagamiseks. Siiski ei ole see esimene kord, kui finantsasutusele sarnaseid
nõudeid esitatakse, sellele vaatamata piirab see ettevõtja tegevust ning eeldab omakorda
ettevõtjalt täiendavate rahaliste kulutuste tegemist.
Eelnõuga ette nähtud piirangud on mõistlikud. Kuigi digitaalse tegevuskerksuse nõuded on
ühest küljest finantsasutusi koormavad, siis teisest küljest tagab see nende tegevuse toimimise
ja jätkusuutlikkuse igapäevases majanduses üleüldiselt. See omakorda on seotud avaliku
huviga, kuna finantsasutuste stabiilsus aitab kaasa ka riigi majanduse toimimise stabiilsusele.
Lisaks aitab nõuete rakendamine ära hoida kahjusid, mis võiks kaasneda IKT-riskidega, mis
kaasnevad finantssüsteemi küberohtudega ning IKT-katkestustega. IKT kasutamine on
finantsteenuste osutamisel omandanud keskse rolli, kusjuures see on igapäevaste funktsioonide
toimimise jaoks kriitilise tähtsusega. Finantssektori digitaliseerimine on süvendanud seoseid ja
sõltuvust nii finantssektori sees kui ka finantssektori ja kolmandate isikute taristu ja kolmandast
isikust teenuseosutajate vahel. See kõik toob kaasa küberintsidentide riski, mis ei ole ainult
Eesti kohalik probleem. Nende riskide maandamiseks on oluline kehtestada ja järgida digitaalse
tegevuskerksuse nõudeid.
Lisaks kaitsevad eelnõuga kehtestatavad finantsasutuste digitaalse tegevuskerksuse nõuded
isikute omandit, kes on oma raha usaldanud finantsasutuste hoolde. PS § 32 kohaselt on igaühe
omand puutumatu ja võrdselt kaitstud. Antud eelnõuga võtab riik meetmeid, et see isikute õigus
saaks tagatud.
Seega on digitaalse tegevuskerksuse nõuete kehtestamine finantsasutustele põhjendatud ja
proportsionaalne.
2.6.2. Eelnõuga kehtestatakse väärteokaristused DORA määruses sätestatud digitaalse
tegevuskerksuse nõuete rikkumise eest. Sellega on puutumuses PS § 11, mille kohaselt võib
õigusi ja vabadusi piirata ainult kooskõlas seadusega. Samuti riivatakse PS § 31, mille korral
mõned ettevõtlusega seotud teod võivad olla kvalifitseeritud väärtegudeks ning nende eest
nähakse ette karistused38. Need piirangud peavad olema demokraatlikus ühiskonnas vajalikud
ega tohi moonutada piiratavate õiguste ja vabaduste olemust. Karistused on piirangud ning need
38 O. Kask, S. Ehrlich, A. Henberg. PS § 31 kommentaarid, p 33. – Eesti Vabariigi põhiseadus. Kommenteeritud väljaanne,
viies, parandatud ja täiendatud väljaanne. Justiitsministeerium: 2020. https://pohiseadus.ee/sisu/3502
20
piirangud olema proportsionaalsed ning ei või olla ülemäärased. Finantssektoris võib IKT-riski
realiseerumine mõjutada finantsstabiilsust ja finantssüsteemi usaldusväärsust, seetõttu on vaja
ette näha proportsionaalne karistuste rakendamise kord. Lisaks kaasneb eelnõu kohaselt
karistuse määramisega ka selle avalikustamine.
Eelnõuga ette nähtavad rahatrahvid on:
1) IFS § 5034 ja KAS § 13426, MERAS § 109¹, VpTS § 262³ - rahatrahv 5 000 000 eurot või
kuni kahekordse väärteo tulemusel teenitud kasule või ära hoitud kahjule vastavas summas ning
juriidilise isiku puhul sama suur trahv, kuid alternatiiviks on kuni kahekordse väärteo tulemusel
teenitud kasule või ära hoitud kahjule vastavas summas või kuni 10% juriidilise isiku või tema
konsolideerimisgrupi konsolideeritud käibest;
2) KindlTS § 257¹ - rahatrahv 700 000 eurot või kuni kahekordse väärteo tulemusel teenitud
kasule või ära hoitud kahjule vastavas summas ning juriidilise isiku puhul 5 000 000 eurot või
kuni kahekordse väärteo tulemusel teenitud kasule või ära hoitud kahjule vastavas summas või
kuni 10% juriidilise isiku või tema konsolideerimisgrupi konsolideeritud käibest.
Määrad on kooskõlas vastavates seadustes sätestatud määradega. Täpsemad selgitused on
toodud vastavate sätete selgituste juures.
Finantsasutuste puhul on väärteokaristustena ette nähtud rahatrahvid kõrgemas suurusjärgus,
kui teistes eluvaldkondades, sest finantssektor põhineb usaldusel. Seadusega pandud kohustuste
mitte järgimine võib kaasa tuua ulatuslikud tagajärjed mitte ainult sellele finantsasutusele
endale, vaid kogu ühiskonnale. Tänapäeva ühiskonna heaolu sõltub olulisel määral
finantssektoris tegutsevate ettevõtjate pakutavatest teenustest ja finantsturgude
usaldusväärsusest. Finantssektor on valdkond, mille suhtes valitseb kõrgendatud avalik huvi.
Seetõttu peavad sellised karistused olema tulemuslikud, proportsionaalsed ja hoiatavad.
Tavakliendil puuduvad üldjuhul teadmised ja piisav informatsioon finantsteenustega
seonduvate riskide hindamiseks ja kehtestatud regulatsioonid peavad looma usaldusväärse
keskkonna ning tagama klientide kaitse. Eelnimetatud kohustused võtab iga finantssektori
ettevõtja endale turule sisenedes, kusjuures suures osas on regulatsiooni nõuded ka tegevusloa
kontrolliesemeks.
Antud juhul on rahatrahv vajalik kuna:
1) sellel on üldpreventiivne positiivne eesmärk. Õiguskord annab avalikkusele selge märgi
õigusrikkumise hukkamõistetavuse kohta. Üksnes sunniraha meede ei heidutaks
finantsjärelevalvesubjekte nõudeid rikkumast, teades, et nõuete rikkumisele võib järgneda vaid
ettekirjutus, s.t ettekirjutuse täitmisel ei ole neil vaja karta rahalist karistust;
2) finantssektori puhul võib iga nõude rikkumisega kaasneda oluline kahju avalikkusele,
eelkõige investoritele ja võlausaldajatele, aga ka kolmandatele isikutele. Ettekirjutuse ja
sunnirahaga on võimalik nõuda seaduskuulekat käitumist ja kõrvaldada eelkõige selliseid
rikkumisi, mille tagajärjed ei avalda mõju kolmandatele isikutele, kuid välistatud ei ole, et
mõni, olemuselt kõrvaldatav, seaduse nõuete rikkumine toob kaasa piisava ohu või kahju, et
vajalik on ka väärteokoosseisu sätestamine.
Kokkuvõtvalt, eespool toodut arvesse võttes, on Rahandusministeeriumi hinnangul eelnõuga
lisatavad väärteokoosseisud finantssektori järelevalve seisukohalt olulise tähtsusega ja
proportsionaalsed.
3. Eelnõu sisu ja võrdlev analüüs
3.1. Eelnõu § 1. Finantsinspektsiooni seaduse muutmine
21
FIS § 6 lõike 1 uus punkt 75. Kuigi finantsjärelevalve üheks osaks on alati olnud mh
järelevalve seoses finantsasutuse operatsiooniriskide, infoturbe ja talitluspidevusega,
täiendatakse FI ülesannete paragrahvi uue punktiga, rõhutamaks, et FI täidab mh ülesandeid
seoses järelevalvega finantsasutuste digitaalse tegevuskerksuse nõuete täitmise üle. Samuti
nähakse eelnõuga ette, et asjakohastel juhtudel teeb FI koostööd Eesti ja teiste liikmesriikide
küberturvalisuse pädevate asutustega (vt ka selgitusi FIS uue § 4711 juures).
FIS § 46 uus lõige 10. Kuigi FI osaleb aktiivselt ESA-de töös ja vastav säte on ka FIS § 46
lõikes 2, kohustab DORA määruse artikli 32 lõige 5 selgesõnaliselt liikmesriiki määrama
pädeva asutuse, kes kuulub EL tasandil järelevaatamise foorumisse. Sellest tuleb ka juhtivat
järelevalveasutust teavitada.
Nimelt reguleerib DORA määrus mh järelevaatamist kriitilise tähtsusega kolmandast isikust
IKT-teenuseosutajate üle. Järelevaatamise foorum hindab igal aastal ühiselt kõigi kriitilise
tähtsusega kolmandast isikust IKT-teenuste osutajate järelevaatamise tulemusi ja leide ning
edendab koordineerimismeetmeid, et suurendada finantsasutuste digitaalset tegevuskerksust,
edendada IKT kontsentratsiooniriski käsitlemise parimaid tavasid ja uurida riskide
valdkonnaülest ülekandumist leevendavaid tegureid.
Foorum on ESA-de ühiskomitee allkomitee ning sellesse kuulub mh iga liikmesriigi
finantsjärelevalve asutusest üks kõrgetasemeline esindaja, kes on ühtlasi selle asutuse ehk Eesti
puhul FI töötaja.
FIS § 47 lõike 12 muutmine (ei ole seotud DORA ülevõtmisega, seaduses parandatakse EL
määruse nimetus õigeks). Euroopa Parlamendi ja Nõukogu määrusega (EL) 2019/2033, 27.
november 2019, mis käsitleb investeerimisühingute suhtes kohaldatavaid usaldatavusnõudeid
ning millega muudetakse määrusi (EL) nr 1093/2010, (EL) nr 575/2013, (EL) nr 600/2014 ja
(EL) nr 806/2014, muudeti Euroopa Parlamendi ja nõukogu määruse (EL) nr 575/2013
pealkirja, mistõttu viiakse FIS-is viide määrusele kooskõlla selle õige nimetusega.
FIS uus § 4711 reguleerib FI koostööd teiste asutustega küberturvalisuse valdkonnas.
Lõiked 1 ja 2. DORA määruse ja NIS2 direktiivi pädevad asutused peavad tegema koostööd.
Lõike 1 punkti 1 kohaselt peaks FI saama DORA määruse artikli 42 lõike 5 kohaselt
(vabatahtlikult) konsulteerida NIS2 direktiivi pädeva asutusega, kui küsimuseks on, kas
finantsasutus peaks ajutiselt osaliselt või täielikult peatama NIS2 direktiivi kohaldamisalasse
kuuluva kriitilise tähtsusega kolmandast isikust IKT-teenuseosutaja osutatava teenuse
kasutamise või kasutuselevõtu. Vajaduse korral saab ka nõuda, et finantsasutused lõpetaksid
osaliselt või täielikult kriitilise tähtsusega kolmandast isikust IKT-teenuseosutajaga sõlmitud
lepingud. Kuna selline kriitilise tähtsusega IKT-teenuseosutaja kuulub suure tõenäosusega
mõne teise lepinguriigi NIS2 kohase järelevalve alla, on selle kohta ette nähtud ka eraldi lõige
2.
Punkt 2. DORA määruse pädeval asutustel (FI/EKP) peaks olema võimalik küsida tehnilist nõu
NIS2 direktiivi kohaselt määratud või asutatud pädevatelt asutustelt (RIA) ning kehtestada
koostöökokkulepe, mille eesmärk on tagada tõhusad ja kiired reageerimise
koordineerimismehhanismid. Kokkulepetes võib muu hulgas kindlaks määrata järelevalve ja
järelevaatamise koordineerimise menetlused seoses NIS2 direktiivi kohaldamisalasse jäävate
elutähtsate või oluliste üksustega, kes on DORA määruse artikli 31 kohaselt määratud kriitilise
tähtsusega kolmandast isikust IKT teenuseosutajateks, sealhulgas uurimiste ja kohapealsete
22
kontrollide läbiviimiseks kooskõlas liikmesriigi õigusega. Samuti võib kokku leppida
teabevahetuse toimumise viisi, mis hõlmab juurdepääsu DORA pädeva asutuse ja NIS 2 pädeva
asutuse nõutud teabele.
NIS2 direktiivi põhjenduspunkt 25 selgitab ka, et valdkondlikes liidu õigusaktides, millega
nähakse ette küberturvalisuse riskijuhtimismeetmed või teatamiskohustus, millel on NIS2
sätestatuga vähemalt samaväärne mõju, võiks ette näha, et nende õigusaktide kohased pädevad
asutused kasutavad selliste meetmete või kohustustega seoses oma järelevalve- ja täitmise
tagamise volitusi NIS2 kohaselt määratud pädevate asutuste abil. Asjaomased pädevad asutused
võivad sel eesmärgil kehtestada koostöökorra. Sellises koostöökorras võiks muu hulgas
täpsustada järelevalvetegevuse koordineerimise korra, sealhulgas liikmesriigi õiguse kohaste
uurimiste ja kohapealsete kontrollide korra ning pädevate asutuste vahelise järelevalvet ja
täitmise tagamist käsitleva asjakohase teabe vahetamise mehhanismi, sealhulgas juurdepääsu
kübervaldkonda puudutavale teabele, mida pädevad asutused käesoleva direktiivi kohaselt
taotlevad.
Punkt 3. Lisaks reguleerib pädevate asutuste koostööd NIS2 direktiivi artikkel 13, mis ütleb, et
selleks et tagada pädevate asutuste, ühtsete kontaktpunktide ja CSIRTide ülesannete ja
kohustuste tulemuslik täitmine, tagavad liikmesriigid nii suures ulatuses kui võimalik
asjakohase koostöö nende kõnealuse liikmesriigi organite ning õiguskaitseasutuste,
andmekaitseasutuste, määruste (EÜ) nr 300/2008 ja (EL) 2018/1139 kohaste riiklike asutuste,
määruse (EL) nr 910/2014 kohaste järelevalveasutuste, määruse (EL) 2022/2554 (DORA)
kohaste pädevate asutuste, direktiivi (EL) 2018/1972 kohaste riigi reguleerivate asutuste,
direktiivi (EL) 2022/2557 kohaste pädevate asutuste ning muude valdkondlike liidu õigusaktide
kohaste pädevate asutuste vahel. Koostöö hõlmab ka korrapäraselt teabe vahetamist, sealhulgas
intsidentide ja küberohtude kohta.
Kuna CER direktiivi artikli 9 kohaselt on krediidiasustuse ja finantsturutaristute puhul CER
pädevaks asutuseks DORA pädeva asutus, peab ka selle direktiivi kohaselt liikmesriik tagama,
et ta teeb koostööd NIS2 pädeva asutusega, vahetades temaga teavet küsimustes, mis
puudutavad elutähtsaid teenuseosutajaid mõjutavaid küberturvalisuse riske, küberohte ja -
intsidente ning muid kui küberriske, -ohte ja -intsidente, sealhulgas seoses asjakohaste
meetmetega, mille on võtnud NIS2 kohased pädevad asutused. Täpsemalt on teabevahetuse
ulatus ette nähtud HOS eelnõus (seaduse täiendamine §-ga 4156), mille kohaselt
Finantsinspektsioon ja Riigi Infosüsteemi Amet vahetavad vastastikku teavet HOS §-s 36 lõikes
3 nimetatud elutähtsaid teenuseid osutavate elutähtsa teenuse osutajate toimepidevuse, neid
mõjutavate ohtude, riskide, toimepidevuse tagamiseks rakendatud meetmete ja toimunud
sündmuste kohta, samuti asjaomast teavet, mis on vajalik järelevalvemenetluse läbiviimiseks
arvestades eriseadusest tulevate piirangutega.
Punktis 4 tuuakse eraldi välja, et FI ja RIA teevad koostööd muu hulgas seoses finantsasutuste
süvatestimisega. Süvatestimine on reguleeritud DORA määruse artiklites 26 ja 27. Võttes
arvesse RIA küberkompetentsi, aitab kahe asutuse vaheline koostöö tagada, et testimised
viiakse läbi nõuetekohaselt ja RIA on samuti kaasatud vastavatesse toimingutesse.
Lisaks on koostöö kontekstis asjakohane juhtida tähelepanu DORA määruse artikli 47 lõikele
1, mille kohaselt on pädeval asutusel õigus osaleda NIS2 direktiivi artikli 14 alusel loodud
koostöörühma tegevuses seoses nende teemade ja küsimustega, mis on seotud pädeva asutuse
järelevalvega finantsasutuse üle. Lisaks võib pädev asutus sama artikli lõike 2 kohaselt taotleda
sellises koostöörühmas osalemist, kui selles arutatakse küsimusi seoses elutähtsa või olulise
üksusega, kes osutab Eesti finantsasutustele IKT-teenuseid ning kes on ühtlasi DORA määruse
tähenduses kriitilise tähtsusega kolmandast isikust IKT teenuseosutaja. Tegemis on IKT
23
teenuseosutajaga, kes määratakse kriitilise tähtsusega kolmandast isikust IKT teenuseosutajaks
vastavalt DORA määruse artiklile 31.
Lõige 3. Selleks, et mitte kohaldada teatud finantsasutustele topelt intsidentidest teavitamise
nõudeid, nähakse käesoleva eelnõuga ette järgmine lahendus:
- kui finantsasutuse puhul on mh tegemist elutähtsa teenuse osutajaga hädaolukorra seaduse
§ 38 lõike 1 tähenduses, siis kohaldub talle DORA määruses ja käesolevas eelnõus
sätestatud kohustus teavitada tõsisest IKT intsidendist nii FI-d kui ka RIA-t,
- sellisel juhul ei pea ta topelt teavitama elutähtsa teenuse toimepidevust korraldavat asutust
(Eesti Panka) elutähtsa teenuse katkestusest, katkestuse ohust, elutähtsa teenuse
toimepidevust oluliselt häirivast sündmusest või sellise sündmuse toimumise vahetust
ohust, nagu on sätestatud hädaolukorra seaduses. Oluline on rõhutada, et nii on vaid juhul,
kui tegemist on tõsise IKT intsidendiga.
- FI edastab viivitamata nii esialgse teate, vaheraporti kui ka lõppraporti Eesti Pangale.
- krediidiasutuste puhul on lisatud eelnõusse täpsustus (KAS § 923 lg 2), et DORA kohase
teavitusega loetakse hädaolukorra seaduse § 38 lõike 3 punktis 4 sätestatud elutähtsa
teenuse osutaja teavitamise kohustus täidetuks.
- juhul, kui tegemist ei ole tõsise IKT intsidendiga DORA tähenduses, kohaldub teavitamisele
hädaolukorra seadus ning elustähtsa teenuse osutaja teavitab otse Eesti Panka.
CER direktiivi põhjenduspunkt 21 selgitab, et kuna finantssektori ettevõtjate toimepidevus on
põhjalikult hõlmatud DORA regulatsiooniga, ei tuleks selliste ettevõtjate suhtes kohaldada
CER direktiivi artiklit 11 ning III, IV ja VI peatükki, et vältida dubleerimist ja ebavajalikku
halduskoormust (vt ka artiklit 8). Seega, kuna CER direktiivi III peatüki artikkel 15 reguleerib
intsidentidest teavitamist, tuleks IKT teavitamisele kohaldada CER direktiiv asemel DORA
määrust.
Kuna DORA määruse artikli 19 lõike 6 punkt e kohaselt saab riik määrata, et lisaks punktides
a–d nimetatud asutustele edastatakse tõsiste intsidentide teavitus ja raportid ka muudele
liikmesriigi õiguse kohastele avaliku sektori asutustele, nähaksegi käesoleva lõikega 3 ette, et
FI edastab viivitamata Eesti Pangale need teavitused ja raportid, mis ta on saanud elutähtsa
teenuse osutajalt.
Lõige 4. Kuigi FI teeb koostööd ESA-de ja Euroopa Keskpangaga ning seda reguleerivad nii
FIS kui ka asjakohased EL õigusaktid, on lõikes 6 täpsustatud, et koostöö hõlmab muu hulgas
DORA määruse artiklite 48 ja 49 lõigetes 2 sätestatud koostööd ja teabevahetust. Artikli 48
lõike 2 kohaselt vahetavad pädevad asutused ja juhtiv järelevaatamisasutus (kelleks on üks
ESA-dest, sõltuvalt, kes on kriitilise tähtsusega kolmandast isikust IKT teenuseosutaja) aegsasti
vastastikku kogu asjakohast teavet kriitilise tähtsusega kolmandast isikust IKT teenuseosutajate
kohta, mida neil on vaja DORA määrusest tulenevate ülesannete täitmiseks, eelkõige seoses
juhtiva järelevaatamisasutuse järelevaatamise ülesannete raames kindlaks tehtud riskide,
lähenemisviiside ja võetud meetmetega.
Artikli 49 lõike 2 kohaselt teevad pädevad asutused, ESA-d ja Euroopa Keskpank omavahel
tihedat koostööd ja vahetavad teavet, et täita oma DORA määruse artiklite 47–54 kohaseid
ülesandeid. Nad kooskõlastavad tihedalt oma järelevalvetegevust, et teha kindlaks rikkumised
ja võtta parandusmeetmeid, töötada välja ja edendada parimaid tavasid, hõlbustada koostööd,
edendada tõlgendamise ühtsust ning anda lahkhelide korral jurisdiktsiooniüleseid hinnanguid.
FIS § 54 lõike 4 täiendamine uue punktiga 12. Paragrahv 54 reguleerib kontrollimisandmete
salastatust. Lõikes 4 on loetelu asutustest, kellele konfidentsiaalse teabe ja finantsjärelevalve
tulemusi kajastavate dokumentide avaldamine on lubatud. Lõiget täiendatakse uue punktiga,
24
mille kohaselt on konfidentsiaalse teabe ja finantsjärelevalve tulemusi kajastavate dokumentide
avaldamine lubatud RIA-le ulatuses, mis on vajalik tõhusaks koostööks kahe asutuse vahel.
Siinjuures on oluline välja tuua, et ka DORA määruse 55 kohaselt kehtib DORA määruse alusel
saadud, vahetatud või edastatud konfidentsiaalse teabe suhtes ametisalauduse hoidmise
kohustus, sealhulgas teabevahetust DORA määruse pädevate asutuste (FI) ja NIS2 direktiivi
kohaselt määratud või asutatud pädevate asutuste (RIA) vahel, ei avaldata ühelegi teisele isikule
ega asutusele, välja arvatud juhul, kui see on ette nähtud liidu või liikmesriigi õigusega.
FIS § 544 uue lõikega 4 võetakse riigisisesesse õigusesse üle DORA määruse artikkel 56. Kuigi
DORA määrus on otsekohalduv, on selle artiklis 53 sätestatud, et liikmesriigid teavitavad
komisjoni, ESMA-t, EBA-t ja EIOPA-t oma õigus- ja haldusnormidest, millega võetakse üle
peatükk 7 ehk ka viidatud peatükk tuleb riigisisesesse õigusesse üle võtta.
3.2. Eelnõu § 2. Finantskriisi ennetamise ja lahendamise seaduse muutmine
Digitaalne tegevuskerksus on oluline, et säilitada finantsasutuse kriitilised funktsioonid ja
põhiäriliinid kriisilahenduse korral ning seeläbi vältida häireid reaalmajanduses ja
finantssüsteemis. Direktiivi 2014/59/EL muutmise eesmärgiks on tagada, et tegevuserksusega
seotud teavet võetakse kriisilahenduse kavandamisel ning kriisilahenduskõlblikkuse
hindamisel arvesse.
DORA määruses sätestatud mõiste „kriitilise tähtsusega või oluline funktsioon“ hõlmab
direktiivi 2014/59/EL artikli 2 lõike 1 punktis 35 sätestatud kriitiliste funktsioonide määratlust.
Seega on viidatud direktiivi kohaselt kriitiliseks funktsiooniks peetavad funktsioonid hõlmatud
kriitilise tähtsusega funktsioonide määratusega DORA määruse tähenduses. FELS-is on
kriitiline funktsioon defineeritud § 5 lõikes 2.
Kuna FELS § 2 lõike 3 kohaselt käsitatakse krediidiasutusena ka investeerimisühingut ja tema
suhtes kohaldatakse kõike krediidiasutuse suhtes sätestatut, siis ka allolevaid selgitusi tuleks
lugeda nii, et kõik, mis on öeldud krediidiasutuse kohta, käib ka investeerimisühingu kohta.
Samuti on oluline juhtida tähelepanu asjaolule, et FI on FELS-i mõttes kriisilahendusasutus.
Kui FI-l, kui järelevalveasutusel, on krediidiasutuse või investeerimisühingu kohta mingi teave
tegelikult olemas, siis muudatuste kohaselt võib osutuda vajalikuks teavitada FI-d, kui
kriisilahendusasutust, samuti teatud asjaoludest. FIS § 4 lõike 4 kohaselt tagab FI vajalikus
ulatuses finantsjärelevalve ja kriisilahendusülesannete funktsiooni omavahelise sõltumatuse.
FELS § 2 lõike 2 muutmine (ei ole seotud DORA ülevõtmisega, seaduses parandatakse EL
määruse nimetus õigeks). Euroopa Parlamendi ja Nõukogu määrusega (EL) 2019/2033, 27.
november 2019, mis käsitleb investeerimisühingute suhtes kohaldatavaid usaldatavusnõudeid
ning millega muudetakse määrusi (EL) nr 1093/2010, (EL) nr 575/2013, (EL) nr 600/2014 ja
(EL) nr 806/2014, muudeti Euroopa Parlamendi ja nõukogu määruse (EL) nr 575/2013
pealkirja, mistõttu viiakse FELS-is olev viide määrusele kooskõlla selle õige nimetusega.
FELS § 11 lõike 1 punkti 16 muutmine. Muudetav paragrahv reguleerib, mida peab
krediidiasutuse finantsseisundi taastamise kava sisaldama. Muudatusega täpsustatakse
sõnastust, et kava peab sisaldama muu hulgas korda ja meetmeid, tagamaks võrgu- ja
infosüsteemide pidev toimimine. Võrgu- ja infosüsteeme tuleks hallata vastavalt DORA
määruses sätestatule.
Võrgu- ja infosüsteemid on defineeritud DORA määruse artikli 3 punktis 2 („võrgu- ja
infosüsteem“ – direktiivi (EL) 2022/2555 artikli 6 punktis 1 määratletud võrgu- ja infosüsteem).
Viide on NIS2 direktiivi definitsioonile, mis omakorda määratleb, et võrgu- ja infosüsteem on
25
(a) direktiivi (EL) 2018/1972 artikli 2 punktis 1 määratletud elektroonilise side võrk39; (b) seade
või omavahel ühendatud või seotud seadmete rühm, millest vähemalt ühes toimub mõne
programmi kohaselt digiandmete automaatne töötlemine, või (c) digiandmed, mida
salvestatakse, töödeldakse, saadakse päringutega või edastatakse punktidega a ja b hõlmatud
komponente kasutades nende töö, kasutamise, kaitsmise või hooldamise jaoks.
FELS § 28 lõike 5 täiendamine uute punktidega 141 ja 142. Lõige 5 kohustab krediidiasutust
või temaga ühte konsolideerimisgruppi kuuluvat isikut abistama FI-d (nõudmisel) ja esitama
talle teavet, mis on kriisilahenduskava koostamiseks ja rakendamiseks vajalik. Samas lõikes on
loetelu teabest, mida FI võib nõuda. Muudatusettepanekuga täiendatakse loetelu ning FI
nõudmisel tuleb esitada andmed ka kriitilise tähtsusega kolmandast isikust info- ja
tehnoloogiateenuse osutajate kohta ning digitaalse tegevuskerksuse testi tulemused.
Kriitilise tähtsusega kolmandast isikust IKT teenuseosutaja on defineeritud DORA määruse
artikli 3 punktis 23. Tegemis on IKT teenuseosutajaga, kes määratakse kriitilise tähtsusega
kolmandast isikust IKT teenuseosutajaks vastavalt DORA määruse artiklile 31 (nt suured
pilveteenuseosutajad jne).
FELS § 29 lõike 1 punktide 5 ja 8 muutmine. Paragrahv 29 reguleerib, mida peab
kriisilahenduskava sisaldama.
Punkti 5 kohaselt peab kava sisaldama informatsiooni selle kohta, millised on võimalused
kriitiliste funktsioonide ja põhiäriliinid õiguslikult ja majanduslikult teistest funktsioonidest
eraldamiseks, et tagada krediidiasutuse maksejõuetuse korral tema tegevuse jätkumine.
Muudatusega lisatakse, et kirjeldatut ei tuleks teha mitte ainult tegevuse jätkumise tagamiseks,
vaid ka digitaalse tegevuskerksuse tagamiseks.
Punkti 8 kohaselt peab kava sisaldama informatsiooni süsteemide kirjelduse kohta.
Muudatusega täpsustatakse, et sealhulgas KüTS § 2 punktis 1 sätestatud võrgu- ja
infosüsteemide kirjelduse kohta (direktiivis on viide DORA määruses osutatud võrgu- ja
infosüsteemidele, mis omakorda on defineeritud viitega NIS2 direktiivi määratlusele).
FELS § 33 lõike 4 punkti 4 muutmine ja täiendamine uue punktiga 41. Paragrahv 33
reguleerib, mida võetakse arvesse krediidiasutuse ja konsolideerimisgrupi
kriisilahenduskõlblikkuse hinnangu koostamisel.
Punktis 4 täpsustatakse, et kui hinnatakse krediidiasutuse teenuslepingute täielikult täitmisele
pööratavust krediidiasutuse kriisilahendusmenetluse korral, siis on teenuslepingu all mõeldud
ka info- ja kommunikatsioonitehnoloogia teenuse osutamisega seotud lepingut. Samuti on
täpsustatud, et see leping peaks olema püsiv (ingl k robust).
Uue punkti 41 kohaselt tuleb kriisilahenduskõlblikkuse hinnangu koostamisel võtta arvesse
kriitilisi funktsioone ja põhiäriliine toetavate võrgu- ja infosüsteemide digitaalsest
tegevuskerksust. Selleks on abiks info- ja kommunikatsioonitehnoloogiaga seotud intsidentide
39 „elektroonilise side võrk“ – ülekandesüsteemid, mis võivad, aga ei pruugi põhineda püsitaristul või kesksel juhtimisel, ja
vajaduse korral lülitus- ja marsruutimisseadmed ning muud vahendid, sealhulgas võrguelemendid, mis ei ole aktiivsed, mis
võimaldavad edastada signaale kaabli kaudu, raadio teel, optiliselt või muude elektromagnetiliste vahendite abil, kasutades
sealhulgas satelliitvõrke, püsivõrke (ahel- ja pakettkommuteeritud võrgud, k.a internet) ja mobiilsidevõrke,
elektrikaabelsüsteeme, kui neid kasutatakse signaalide edastamiseks, raadio- ja teleringhäälinguvõrke ja
kaabeltelevisioonivõrke, olenemata sellest, millist teavet nende kaudu edastatakse;
26
aruanded ja digitaalse tegevuskerksuse testimise tulemused. Sõnastuses on kasutatud „kui see
on asjakohane“ – kui pole tõsiseid intsidente, pole ka teavitusi, mida arvesse võtta.
Seaduse normitehniline märkus. Muudetakse seaduse normitehnilist märkust, lisades sinna
viite DORA direktiivile.
3.3. Eelnõu § 3. Hoiu-laenuühistute seaduse muutmine
Hoiu-laenuühistud kuuluvad vaikimisi DORA määruse kohaldamisalasse. Samas lubab DORA
määruse artikli 2 lõige 4 riigisiseselt otsustada, et hoiu-laenuühistud ei kuulu DORA määruse
kohaldamisalasse: „Liikmesriigid võivad käesoleva määruse kohaldamisalast välja arvata
direktiivi 2013/36/EL artikli 2 lõike 5 punktides 4–23 osutatud üksused, mis asuvad nende
vastaval territooriumil. Kui liikmesriik otsustab vastavale asutusele DORA määrust kohaldada,
siis kohaldub neile IKT-riskide juhtimisraamistiku lihtsustatud režiim.“. Direktiivi 2013/36/EL
artikli 2 lõike 5 punktis 6 on viidatud Eesti puhul hoiu-laenuühistutele, mis on hoiu-laenuühistu
seaduse kohaselt tunnustatavad ühistud. DORA määruse artikli 46 punkti a kohaselt oleks
sellisel juhul pädevaks asutuseks sama asutus, kes on krediidiasutuste pädev asutus ehk Eesti
puhul oleks selleks FI.
Kuna õiguslikult ei ole hoiu-laenuühistud hetkel FI finantsjärelevalve subjektid, on keeruline
nende suhtes DORA määruse nõudeid kohaldada. Käesoleva eelnõuga samaaegselt on
menetluses hoiu-laenuühistute seaduse ja sellega seonduvalt teiste seaduste muutmise seaduse
eelnõu. Kui hoiu-laenuühistust saab ühistupank, siis viidatud eelnõu kohaselt kohalduksid neile
KAS-is sätestatud nõuded, sh on nad kohustatud rakendama DORA määrust.
Muudatusettepaneku kohaselt ei ole hoiu-laenuühistu kohustatud järgima DORA määruses
sätestatud nõudeid.
3.4. Eelnõu § 4. Investeerimisfondide seaduse muutmine
IFS § 12 lõike 1 punkti 1 muutmine (ei ole seotud DORA ülevõtmisega, seaduses
parandatakse EL määruse nimetus õigeks). Euroopa Parlamendi ja Nõukogu määrusega (EL)
2019/2033, 27. november 2019, mis käsitleb investeerimisühingute suhtes kohaldatavaid
usaldatavusnõudeid ning millega muudetakse määrusi (EL) nr 1093/2010, (EL) nr 575/2013,
(EL) nr 600/2014 ja (EL) nr 806/2014, muudeti Euroopa Parlamendi ja nõukogu määruse (EL)
nr 575/2013 pealkirja, mistõttu viiakse IFS-is viide määrusele kooskõlla selle õige nimetusega.
IFS § 223 lõike 2 muutmine. DORA määruse kohaldamisse kuuluvad mh määratud
väljamaksetega tööandja pensionifondid (IORP-id). Paragrahvis 223 on viited IFS
paragrahvidele, milledes sätestatut peab ka IORP oma tegevuses arvestama. Muudatusega
lisatakse §-i 223 viide IFS §-le 345, mille uus lõige 11 kohustab fondivalitsejaid järgima DORA
määruses sätestatut. Lisaks on viide IFS uuele §-le 3451 ehk ka IORP-ide puhul on kohustus
teavitada nii FI-d kui ka RIA-t tõsistest info- ja kommunikatsioonitehnoloogiaga seotud
intsidentidest ning soovi korral olulistest küberohtudest.
IFS § 223 uus lõige 5. Proportsionaalsuse põhimõtte kohaselt ei kohaldata DORA määrust
IORP-ide suhtes, milles on vähem kui 15 pensioniskeemiga hõlmatud isikut.
IFS § 344 lõike 3 punkti 3 muutmine. Fondivalitseja sise-eeskirjade puhul täpsustatakse, et
nõuded info- ja kommunikatsioonitehnoloogilise korralduse, infoturbe tagamise ja
talitluspidevuse kohta tuleb asjakohasel juhul koostada kooskõlas DORA määruses sätestatud
info- ja kommunikatsiooniriskide juhtimise nõuetega. Kuna DORA määrus ei kohaldu IORP-
27
ide suhtes, millesse kuulub vähem kui 15 pensioniskeemiga hõlmatud isikut, on õigusselguse
huvides sõnastuses täpsustatud „asjakohasel juhul“, ehk jättes DORA-le viite kohustusest välja
kõnealused IORP-id. Samas pensionifondi valitsejate puhul peavad sise-eeskirjad info- ja
kommunikatsioonitehnoloogilise korralduse, infoturbe tagamise ja talitluspidevuse kohta
olema koostatud kooskõlas DORA määrusega (vt selgitust ka IFS § 345 lõike 11 juures).
IFS § 345 pealkirja muutmine. Kuna paragrahvi sisu täiendatakse viitega DORA määrusele,
siis viiakse ka pealkiri kooskõlla selle sisuga.
IFS § 345 uus lõige 11. Kuna fondivalitsejad kuuluvad samuti DORA kohaldamisalasse, on §-
i 345 lisatud kohustus järgida DORA määruses sätestatud nõudeid, sealjuures peavad loodavad
ja hallatavad võrgu- ja infosüsteemid vastama DORA määruses sätestatule.
Pensionifondide puhul ei ole tegemist eurofondi valitsejaga direktiivi 2009/65/EÜ artikli 2
lõike 1 punkti b tähenduses, mistõttu ei kuulu nad vaikimisi ka DORA määruse
kohaldamisalasse. Eelnõu koostamisel on võetud lähenemine, et ka pensionifondid lähtuvad
oma tegevuses DORA määruses sätestatud nõuetest, mistõttu on õigusselguse huvides
sõnastuses ka nendele eraldi viidatud. Samas on täpsustatud, et mitte kõikide DORA määruse
sätete puhul ei ole kohane määrust pensionifondi valitseja suhtes kohaldada. Nimelt ei saa
nende suhtes kohaldada neid sätteid, mis on seotud teiste Euroopa institutsioonide tegevusega.
Näiteks ei saa kohustada FI-d saatma pensionifondi valitseja edastatud teated intsidentide kohta
edasi ESA-dele, kuna nendega seotud järelevalve ei kuulu Euroopa finantsjärelevalve süsteemi.
Samuti ei saa kriitiliste IKT teenuseosutajate järelevaatamise puhul arvesse võtta olukordi, kus
nad osutavad teenust pensionifondi valitsejatele.
Järgnevalt on esitatud ülevaade pensionifondi valitsejale kohalduvatest kehtivatest IKT ja
küberturvalisuse nõuetest/suunistest ning DORA kohaldumisel kohalduvatest nõuetest. Oluline
on siinjuures märkida, et DORA määruse muutmisel tuleb kohaldatavad sätted pensionifondi
valitsejate vaates uuesti riigisiseselt läbi analüüsida, et tagada, et ka muudatuste korral on neid
asjakohane kohaldada pensionifondi valitsejatele.
Kehtiv Uus
IKT riskijuhtimisraamistik (II peatükk)
§ IFS 344 lg 3 p 3: Sise-eeskirjadega
määratakse:
- nõuded infotehnoloogilise korralduse,
infoturbe tagamise ja talitluspidevuse
kohta.
Finantsinspektsiooni soovituslikud juhendid:
- Nõuded finantsjärelevalve subjekti
infotehnoloogia ja infoturbe
korraldusele;
- Nõuded finantsjärelevalve subjekti
talitluspidevuse protsessi
korraldamiseks.
- nõuded info- ja
kommunikatsioonitehnoloogilise
korralduse, infoturbe tagamise ja
talitluspidevuse kohta, mis peavad
asjakohasel juhul olema kooskõlas
Euroopa Parlamendi ja nõukogu
määruses (EL) 2022/2554, mis käsitleb
finantssektori digitaalset tegevuskerksust
ning millega muudetakse määrusi (EÜ)
nr 1060/2009, (EL) nr 648/2012, (EL)
nr 600/2014, (EL) nr 909/2014 ja (EL)
2016/1011 (ELT L 333, 27.12.2022, lk 1–
79), sätestatud info- ja
kommunikatsioonitehnoloogia riskide
juhtimise raamistikuga.
- IFS § 345 (11). Pensionifondi valitseja
suhtes kohaldatakse Euroopa Parlamendi
ja nõukogu määruse (EL) 2022/2554
artiklites 3–18, artikli 19 lõigetes 1–5,
28
artikli 22 lõikes 1, artiklites 24–30 ning
artiklis 45 sätestatut.“;
IKT intsidentide haldamine ja liigitamine ning nendest teavitamine (III peatükk)
Finantsinspektsiooni soovituslik juhend:
- Nõuded finantsjärelevalve subjekti
infotehnoloogia ja infoturbe korraldusele.
IFS § 345 (11). DORA määruse artiklid 17 ja
18, artikli 19 lõiked 1–5 ning artikli 21 lõige
1.
Digitaalse tegevuskerksuse testimine (IV peatükk)
Finantsinspektsiooni soovituslik juhend:
- Nõuded finantsjärelevalve subjekti
infotehnoloogia ja infoturbe
korraldusele;
- Nõuded finantsjärelevalve subjekti
talitluspidevuse protsessi
korraldamiseks.
IFS § 345 (11), artiklid 24–27.
Kolmandast isikust tuleneva IKT-riski juhtimine (V peatüki I jagu)
Finantsinspektsiooni soovituslikud juhendid:
- Nõuded finantsjärelevalve subjekti
infotehnoloogia ja infoturbe korraldusele.
- Nõuded finantsjärelevalve subjekti poolt
tegevuse edasiandmisele (Outsourcing).
IFS § 345 (11), DORA määruse artiklid 28–
30.
Teabe jagamise kokkulepped (VI peatükk)
- IFS § 345 (11), DORA määruse artikkel 45.
Selguse huvides tasub ka välja tuua, et uued digitaalse tegevuskerksuse nõuded ei kohaldu IFS
§ 3 lõikes 6 määratletud väikefondi valitsejatele.
IFS uus § 3451. DORA määruse artikli 19 lõike 1 kohaselt peab finantsasutus teavitama pädevat
asutust tõsistest IKT-ga seotud intsidentidest. Lisaks annab määrus liikmesriigile võimaluse
ette näha, et mõned või kõik finantssektori ettevõtjad esitavad pädevale asutusele või
küberturbe intsidentide lahendamise üksustele, mis on määratud või loodud direktiivi (EL)
2022/2555 kohaselt, samuti esialgse teate ja kõik raportid, kasutades DORA määruse artiklis 20
osutatud teavitusvorme (lõiked 1 ja 2). Lõikega 1 nähakse ette, et fondivalitseja teavitab lisaks
FI-le ka RIA-t.
Teavitused ja raportid intsidentide kohta tuleb esitada DORA määruse alamaktides kehtestatud
vorme kasutades, lähtudes Finantsinspektsiooni kehtestatud andmevahetusvormingust ja teabe
edastusviisist (vt tehniliste standardite eelnõu konsultatsioonidokumenti intsidentidest
teavitamise kohta).40 Nagu käesoleva seletuskirja punkti 2.3.2 alampunktis A kirjeldatud,
kasutab finantsasutus nii FI kui ka RIA teavitamisel ühekordset teabeedastamise viisi ehk selle
kehtestamisel tuleks Finantsinspektsioonil ka selle asjaoluga arvestada.
Intsidentide liigitamise kriteeriumid on ette nähtud DORA määruse artikli 18 lõikes 1, kuid
täpsemad kriteeriumid tõsiste intsidentide määratlemiseks töötavad välja ESA-d koostöös EKP
ja ENISA-ga.
Lisaks sätestab DORA määruse artikli 19 lõige 2, et finantsasutused võivad vabatahtlikult
teatada asjaomasele pädevale asutusele olulistest küberohtudest, kui nad peavad ohtu
finantssüsteemi, teenusekasutajate või klientide jaoks oluliseks, sealjuures võivad liikmesriigid
otsustada, et need finantsasutused, kes teatavad vabatahtlikult esimese lõigu kohaselt, võivad
40https://www.eiopa.europa.eu/system/files/2023-12/JC%202023%2070%20-
%20%20CP%20on%20draft%20RTS%20and%20ITS%20on%20major%20incident%20reporting%20under%20DORA.pdf
29
kõnealuse teate edastada ka direktiivi (EL) 2022/2555 kohaselt määratud või loodud küberturbe
intsidentide lahendamise üksustele.
IFS § 3631 uus lõige 3. Selguse huvides on ka tööandja pensionifondide puhul välja toodud, et
DORA määrust ei kohaldata sellise fondivalitseja suhtes, kes valitseb fondi, milles on vähem
kui 15 (sh) osakuomanikku.
IFS § 455 uus lõige 32. Paragrahv reguleerib järelevalve aluseid ja kohaldamist. Eelnõuga
lisatakse paragrahvi uus lõige, milles sätestatakse, et FI-l on DORA määruse kohase täitmise
üle järelevalve teostamisel kõik nimetatud määruses, IFS-is ja Finantsinspektsiooni seaduses
sätestatud õigused.
Nimelt on DORA määruse artikli 50 lõike 1 kohaselt pädevatel asutustel kõik DORA määruse
kohaste ülesannete täitmiseks vajalikud järelevalve-, uurimis- ja karistuste määramise volitused
ning lõikes 2 on miinimumnimekiri vastavatest volitustest. Näiteks on FI-l õigus tutvuda kõigi
dokumentidega või mis tahes vormis muude andmetega, mis võiksid olla FI ülesannete
täitmiseks olulised, ja saada või teha nende dokumentide koopiaid, teha kohapealseid kontrolle
või uurimisi ning nõuda määruse nõuete rikkumise korral parandus- ja ennetusmeetmete
võtmist. Kuna tegemist on miinimumnimekirjaga, siis on Finantsinspektsioonil õigus
rakendada ka muid IFS-is ja FISis sätestatud õigusi.
Finantsinspektsioonile antakse mh õigus rakendada DORA määruse artikli 50 lõikes 4
sätestatud halduskaristusi ja parandusmeetmeid. Sellisteks meetmeteks on:
- ettekirjutuse tegemine, et füüsiline või juriidiline isik lõpetaks rikkuva tegevuse ja hoiduks
selle tegevuse kordamisest;
- sellise tegevuse või tava peatamise nõudmine, mis on vastuolus määruse sätetega;
- mis tahes liiki meetmete võtmine, sealhulgas rahaliste meetmete, tagamaks, et
finantsasutused jätkavad õigusnormide järgimist;
- liikmesriigi õigusega lubatud ulatuses sideoperaatorite valduses olete andmeliiklusandmete
nõudmine, kui on piisav alus kahtlustada määruse nõuete rikkumist ja kui sellised andmed
võivad olla olulised määruse rikkumiste uurimisel (kuna liikmesriigi õigusega pole vastavat
õigust ette nähtud, siis käesolevat meedet ei saa rakendada), ning
- avalike teadaannete väljastamine, mis sisaldavad füüsilise või juriidilise isiku identiteeti ja
rikkumise laadi.
Kuna tegemist on jällegi miinimumnimekirjaga, on Finantsinspektsioonil õigus rakendada ka
muid IFS-ist ja FIS-ist tulenevaid meetmeid.
Et võetud meetmetel oleks hoiatav mõju laiemale avalikkusele, näeb määrus ette rikkumist
puudutavate otsuste avalikustamise. DORA määruse artikli 54 lõike 1 kohaselt avaldavad
pädevad asutused oma ametlikel veebisaitidel põhjendamatu viivituseta kõik halduskaristuse
määramise otsused, mida ei ole edasi kaevatud pärast seda, kui karistuse saanud isikut on
otsusest teavitatud. Lõige 5 näeb samas ette, et kui pädev asutus avaldab halduskaristuse
määramise otsuse, mis on asjaomastele kohtuasutustele edasi kaevatud, lisavad pädevad
asutused ühtlasi viivitamata oma ametlikule veebisaidile selle teabe ja hiljem kogu täiendava
teabe sellise edasikaebamise tulemuste kohta. Samuti avaldatakse kohtuotsus, millega
tühistatakse halduskaristuse määramise otsus.
Avaldada tuleb teave rikkumise liigi ja laadi kohta, vastutavad isikud ning määratud karistused.
Erandiks on olukorrad, kus juriidilise isiku nime või füüsilise isiku nime ja isikuandmete
avaldamine oleksid ebaproportsionaalsed või nende andmete avaldamine ohustaks
finantsturgude stabiilsust või pooleli olevat uurimist (eelkõige mõeldud järelevalve- ja
30
väärteomenetlust, kuid võib hõlmata ka kriminaalmenetlust tegevusloata tegutsemise puhul)
või põhjustaks asjaomasele isikule ebaproportsionaalselt suurt kahju. Sellisel puhul võib
avaldamise edasi lükata, jätta isikuid puudutav teave avaldamata või loobuda sellise kaasuse
kohta teabe avaldamisest üldse.
Kuigi DORA määruse artikkel 54 viitab vaid halduskaristuste avalikustamisele, on eurofondi
direktiivi 2009/65/EÜ artikli 99 lõikes 3 sätestatud, et liikmesriigid näevad ette, et pädevad
asutused võivad avalikustada meetmed ja karistused, mis määratakse käesoleva direktiivi
rakendamisel vastuvõetud sätete rikkumise korral, välja arvatud juhul, kui selline
avalikustamine ohustaks tõsiselt finantsturge, kahjustaks investorite huve või tekitaks
asjaomastele osalistele ebaproportsionaalset kahju. Kuna DORA nõuded integreeritakse
viidatud direktiivi, on pädeval asutusel alus avalikustada lisaks halduskaristustele ka muud
meetmed (nt ettekirjutus), kui rikutakse DORA nõudeid. Vastav õigus on FIS § 54 lõikes 5,
mille kohaselt on Inspektsioonil õigus täielikult või osaliselt avalikustada väärteoasjas tehtud
lahend või haldusakt või -leping, kui see on ette nähtud käesoleva seaduse § 2 lõikes 1
nimetatud seaduses või kui see on vajalik investorite, finantsjärelevalve subjektide klientide või
avalikkuse kaitseks või finantsturu õigus- või korrapärase toimimise tagamiseks.
IFS uus § 5034. Seadust täiendatakse uue karistusnormiga, mida FI saab rakendada DORA
määruses sätestatud nõuete rikkumise korral. Nimelt on DORA määruse artikli 50 lõikes 3
sätestatud, et liikmesriigid kehtestavad õigusnormid, milles sätestatakse asjakohased karistused
ja parandusmeetmed määruse rikkumise puhuks, ning tagavad nende tulemusliku rakendamise.
Sama artikli lõike 4 punktis c on sätestatud, et liikmesriigid annavad pädevatele asutustele
õiguse võtta mis tahes liiki meetmeid, sealhulgas rahalisi meetmeid, tagamaks, et finantssektori
ettevõtjad jätkavad õigusnormide järgimist. Eelnõuga nähakse ette, et füüsilise isiku korral on
võimalik karistada rahatrahviga kuni 5 000 000 eurot või kuni kahekordse väärteo tulemusel
teenitud kasule või ära hoitud kahjule vastavas summas ning juriidilise isiku korral karistatakse
rahatrahviga kuni 5 000 000 eurot või kuni kahekordse väärteo tulemusel teenitud kasule või
ära hoitud kahjule vastavas summas või kuni kümme protsenti juriidilise isiku või tema
konsolideerimisgrupi konsolideeritud käibest.
Uue paragrahvi sätestamisel on lähtutud IFS-is sätestatud kehtivatest rahatrahvimääradest ja
karistuste määramise alustest. Finantssektori karistusnormid on suures osas reguleeritud liidu
õiguses, kus reeglina on ette nähtud analoogsed meetmed karistuste rakendamiseks (sh
fikseeritud rahatrahvi piirmäärad). Kuna DORA määruse nõuded integreeritakse DORA
direktiiviga vastavatesse finantssektori õigusaktidesse (eurofondi puhul direktiivi 2009/65/EÜ),
on ka eelnõu puhul võetud lähenemine, et DORA nõuete rikkumise eest ette nähtud karistused
oleksid kooskõlas vastavates liidu õigusaktides ette nähtud karistussätetega. IFS uue paragrahvi
puhul on võetud aluseks direktiivi 2009/65/EÜ artikli 99 lõike 6 punktid e–g ja artikli 99a punkt
j. DORA direktiiviga muudetakse 2009/65/EÜ direktiivi artiklit 12 nii, et sinna lisatakse viide
DORA nõuete rakendamisele. Kuna 2009/65/EÜ direktiivi artikli 99a punkt j viitab artikli 12
rikkumisele, hõlmab see ühtlasi DORA nõuete rikkumist.
Uue paragrahvi lõike 1 sõnastuses on viidatud järgmistele DORA määruse nõuete rikkumistele:
- art 5–14: IKT- riski juhtimine;
- art 16–18, art 19 lõiked 1, 3–5: IKT intsidentide haldamine ja liigitamine ning nendest
teavitamine;
- art 24, 25, art 27 lõiked 1–8: digitaalse tegevuskerksuse testimine;
- art 28 lõiked 1–8, art 29, art 30 lõiked 1–4: kolmandast isikust tuleneva IKT-riski juhtimine;
- art 42 lg 3: kolmanda isikuga seotud riskide arvesse võtmine.
Seaduse normitehniline märkus. Muudatusega lisatakse viide DORA direktiivile.
31
3.5. Eelnõu § 5. Kindlustustegevuse seaduse muutmine
Direktiiv 2009/138/EÜ käsitleb IKT-riski teataval määral üldjuhtimise ja riskijuhtimise
üldsätetes, jättes teatavate nõuete täpsustamise delegeeritud õigusaktide ülesandeks, mitte alati
viidates selleks konkreetselt IKT-riskile. Kuna viidatud direktiiv viiakse kooskõlla DORA
määrusega, peegelduvad vastavad muudatused ka KindlTS-is.
KindlTS § 38 lõike 2 punkt 5 ja uus punkt 51 (ei ole seotud DORA direktiiviga, kuid on
tehniline muudatus, et vältida seaduses olevat tühja viidet). Kuna ÄS § 386 lõike 2 punkt 4 on
tunnistatud kehtetuks, korrigeeritakse KindlTS sõnastust ja kustutatakse viide kehtetule ÄS
punktile 4. ÄS-ist välja jäetud punkt sõnastatakse KindlTS-is. Seega peab kolmanda riigi
kindlustusandja Eestis filiaali asutamise loa taotlemisel esitama FI-le äriühingu põhikirja või
ühingulepingu asukohamaa seaduste kohaselt tõestatud ärakirja, kui põhikirja või
ühingulepingu registrile esitamine on nõutav ka ühingu asukohamaal.
KindlTS § 87 lõike 9 muutmine (ei ole seotud DORA direktiiviga, kuid seaduses parandatakse
EL määruse nimetus õigeks). Euroopa Parlamendi ja Nõukogu määrusega (EL) 2019/2033, 27.
november 2019, mis käsitleb investeerimisühingute suhtes kohaldatavaid usaldatavusnõudeid
ning millega muudetakse määrusi (EL) nr 1093/2010, (EL) nr 575/2013, (EL) nr 600/2014 ja
(EL) nr 806/2014, muudeti Euroopa Parlamendi ja nõukogu määruse (EL) nr 575/2013
pealkirja, mistõttu viiakse KindlTS-is viide määrusele kooskõlla selle õige nimega.
KindlTS § 96 täiendamine uue lõikega 71. Kindlustusandja juhtimissüsteemi nõuete hulka
kuulub ka DORA määruse rakendamine. Sealhulgas peab kindlustusandja kasutama ja haldama
info- ja võrgusüsteeme vastavalt DORA määruses sätestatule.
KindlTS § 105 muutmine. Kindlustusandja sise-eeskirjade puhul täpsustatakse, et nõuded
info- ja kommunikatsioonitehnoloogilise korralduse, infoturbe tagamise ja talitluspidevuse
kohta tuleb koostada kooskõlas DORA määruses sätestatud info- ja kommunikatsiooniriskide
juhtimise raamistikuga.
KindlTS uus § 1051. DORA määruse artikli 19 lõike 1 kohaselt peab finantsasutus teavitama
pädevat asutust tõsistest IKT-ga seotud intsidentidest. Lisaks annab määrus liikmesriigile
võimaluse ette näha, et mõned või kõik finantssektori ettevõtjad esitavad pädevale asutusele
või küberturbe intsidentide lahendamise üksustele, mis on määratud või loodud direktiivi (EL)
2022/2555 kohaselt, ka esialgse teate ja kõik raportid, kasutades DORA määruse artiklis 20
osutatud vorme (lõiked 1 ja 2). Lõikega 1 nähakse ette, et kindlustusandja teavitab lisaks FI-le
ka RIA-t.
Teavitused ja raportid intsidentide kohta tuleb esitada DORA määruse alamaktides kehtestatud
vorme kasutades, lähtudes Finantsinspektsiooni kehtestatud andmevahetusvormingust ja teabe
edastusviisist (vt tehniliste standardite eelnõu konsultatsioonidokumenti intsidentidest
teavitamise kohta).41 Nagu käesoleva seletuskirja punkti 2.3.2 alampunktis A kirjeldatud,
kasutab finantsasutus nii FI kui ka RIA teavitamisel ühekordset teabeedastamise viisi ehk selle
kehtestamisel tuleks Finantsinspektsioonil ka selle asjaoluga arvestada.
41https://www.eiopa.europa.eu/system/files/2023-12/JC%202023%2070%20-
%20%20CP%20on%20draft%20RTS%20and%20ITS%20on%20major%20incident%20reporting%20under%20DORA.pdf
32
Intsidentide liigitamise kriteeriumid on ette nähtud DORA määruse artikli 18 lõikes 1, kuid
täpsemad kriteeriumid tõsiste intsidentide määratlemiseks töötavad välja ESA-d koostöös EKP
ja ENISA-ga.
Lisaks sätestab DORA määruse artikli 19 lõige 2, et finantsasutused võivad vabatahtlikult
teatada asjaomasele pädevale asutusele olulistest küberohtudest, kui nad peavad ohtu
finantssüsteemi, teenusekasutajate või klientide jaoks oluliseks, sealjuures võivad liikmesriigid
otsustada, et need finantsasutused, kes teatavad vabatahtlikult esimese lõigu kohaselt, võivad
kõnealuse teate edastada ka direktiivi (EL) 2022/2555 kohaselt määratud või loodud küberturbe
intsidentide lahendamise üksustele (lõige 3).
KindlTS § 138 muutmine (ei ole seotud DORA direktiiviga). Paragrahvi lisatakse uus lõige,
mille kohaselt ei ole kindlustusandjate (v.a Euroopa äriühingud) piiriülene ümberkujundamine
lubatud. Piiriülene ümberkujundamine tähendab, et Eesti äriühingu saab ümber kujundada
lepinguriigi äriühinguks.
Euroopa Parlamendi ja nõukogu direktiiv (EL) 2019/2121, millega muudetakse direktiivi (EL)
2017/1132 seoses äriühingute piiriülese ümberkujundamise, ühinemise ja jagunemisega
põhjenduspunkti 57 kohaselt ei tohiks viidatud direktiiv mõjutada liidu õiguse kohaldamist, mis
reguleerib krediidivahendusettevõtjaid ja teisi finantsettevõtjaid, ega vastavalt kõnealusele liidu
õigusele kehtestatud liikmesriigi õigusnormide kohaldamist. Kindlustustegevust reguleeriva
Euroopa Parlamendi ja nõukogu direktiivi 2009/138/EÜ peaeesmärk on kindlustusvõtjate ja
soodustatud isikute asjakohane kaitse (põhjenduspunkt 14). Direktiivis ettenähtud
kindlustustegevuse loarežiimiga tagab, et kindlustusturul tegutsevad usaldusväärsed ja
jätkusuutlikud kindlustusandjad, kes on suutelised täitma kindlustuslepingutest tulenevaid
kohustusi. Luba annab kindlustusandjale õiguse tegutseda piiriüleselt Euroopa passi alusel.
Seega, arvestades, et finantssektoris teenuse osutamiseks peab isikul olema tegevusluba, mille
ta saab asukohariigi finantsjärelevalve asutuselt, ei ole direktiiviga 2009/138/EÜ kooskõlas
olukord, kus kindlustusandja liigub oma tegevuse ja kindlustusportfelliga teise lepinguriiki, kus
tal puudub vastava lepinguriigi finantsjärelevalve asutuse luba selles riigis kindlustusteenuse
osutamiseks. Samas ei ole tal võimalik tegevusluba taotleda, kui ta on samal ajal (veel) Eesti
registrisse kuuluv äriühing, kellel on Eestis kehtiv tegevusluba olemasoleva kindlustusportfelli
teenindamiseks. Kindlustusportfelli ei ole võimalik vahepealseks perioodiks, kui
kindlustusandja uues liikmesriigis tegevusluba taotleb, ootele panna, jättes samal ajal
teenindamata kõik kindlustusvõtjate, kindlustatute ja soodustatud isikute nõuded ja tegemata
väljamakseid kahjustatud isikutele (teatud juhtudel on ajakriitiline, et kindlustusandja reageerib
viivitamata kindlustusjuhtumisele, nt seoses tervisekindlustusega). Sealjuures on teise
liikmesriigi pädeval asutusel õigus tegevusloa andmisest ka keelduda.
Alternatiiv on asutada lepinguriigis uus äriühing, saada selle lepinguriigi järelevalveasutuselt
tegevusluba kindlustusteenuse osutamiseks, misjärel Eesti kindlustusandja saab selle ühinguga
ühineda või talle kindlustusportfelli üle anda. Sellisteks olukordadeks on KindlTS ette nähtud
ka vastav regulatsioon klientide kaitseks. Näiteks võib KindlTS § 161 lõike 1 kohaselt
kindlustusandja vabatahtlikult lõpetada üksnes tingimusel, et kindlustusportfell on kehtestatud
korras üle antud, kindlustuslepingud lõpetatud või kõik kindlustuslepingutest tulenevad
kohustused täidetud ning tema varad on piisavad kõigi võlausaldajate õigustatud nõuete
täielikuks rahuldamiseks. Kindlustusandja ühinemisel teise lepinguriigi kindlustusandjaga
tagatakse samuti kindlustusvõtjate, kindlustatute ja soodustatud isikute kaitse see läbi, et
ühinemiseks on vaja Finantsinspektsiooni luba. KindlTS § 144 lõike 2 punkti 5 kohaselt võib
Finantsinspektsioon keelduda ühinemisloa andmisest, kui ühinemine võib kahjustada
kindlustusvõtjate, kindlustatute või soodustatud isikute õigustatud huve.
33
Nagu eelpool osutatud, ei ole piiriülese ümberkujundamise puhul võimalik tagada, et
kindlustusandja liigub teise liikmesriiki ning tal on selles teises liikmesriigis juba olemas
tegevusluba, et koheselt jätkata klientide ees kohustuste täitmist. Selline liikumine ei ole
kooskõlas direktiivi 2009/138/EÜ tegevusloa režiimi ja peaeesmärgi ehk kindlustusvõtjate ja
soodustatud isikute asjakohase kaitsega.
Kuigi direktiiv (EL) 2019/2121 näeb ette meetmed võlausaldajate kaitseks, ei ole direktiiviga
tagatud piisav kliendikaitset juhuks, kui äriühing selles teises liikmesriigis tegevuse jätkamiseks
tegevusluba ei saa (teise riiki liikumine ei tähenda automaatselt liidu õigusest tuleneva
tegutsemisõiguse (tegevusloa) üleminekut). ÄS § 4918 reguleerib võlausaldajate kaitset, kuid
tagatise saamise õigus on vaid võlausaldajal, kelle nõuded on tekkinud enne piiriülese
ümberkujundamise projekti avalikustamist, ja nõuete osas, mis ei ole muutunud avalikustamise
kuupäevaks sissenõutavaks. Direktiivi ülevõtmise eelnõu seletuskirjas42 on selgitatud, et
liikmesriigil tuleb tagada selliste võlausaldajate kaitse, kelle nõuded tekkisid enne piiriülese
ümberkujundamise otsuse projekti avalikustamist ja need ei ole avalikustamise kuupäevaks
veel sissenõutavaks muutunud. Liikmesriigid peavad tagama, et võlausaldajad, kes ei ole rahul
tagatistega, mida pakutakse piiriülese ümberkujundamise otsuse projektis, võivad taotleda
asjakohaselt haldus- või kohtuorganilt piisavaid tagatisi kolme kuu jooksul alates piiriülese
ümberkujundamise otsuse projekti avalikustamisest, kui võlausaldajad suudavad
usaldusväärselt näidata, et nende nõuete rahuldamine on piiriülese ümberkujundamise tõttu
ohus ja nad ei ole saanud äriühingult piisavaid tagatisi. Tagatised peavad sealjuures olema
tingimuslikud, st sõltuma sellest, kas piiriülene ümberkujundamine ikkagi jõustub.
Siinjuures tasub meeles pidada, et käesoleval juhul on võlausaldajateks kindlustusvõtjad,
kindlustatud ja soodustatud isikud, kellele ei pruugi olla piisavalt teadlikust tagatist nõuda või
haldus- või kohtuorgani poole pöörduda. Seega kindlustusvõtjate ja kindlustatute kaitse
seisukohast ei ole võimalik tagada, et piiriülese ümberkujundamise korral oleks viidatud isikute
huvid piisavalt kaitstud.
KindlTS § 175 lõike 1 muutmine. Kuna DORA määrus kohaldub ka kindlustusvahendajatele,
sealhulgas §-s 175 defineeritud kõrvalvahendajatele, on § 175 lõikesse 1 lisatud viide uuele §-
le 1811, milles reguleeritakse, et kindlustusvahendajatele kohalduvad digitaalse
tegevuskerksuse nõudeid.
KindlTS § 179 lõike 1 punkti 2 muutmine (ei ole seotud DORA direktiiviga, kuid on seotud
EL õiguse rakendamisega). Paragrahv 179 lõikes 1 kohaselt peab vahendaja sõlmima
kindlustuse turustamisest tuleneva kohustuse rikkumisega tekitatud kahju hüvitamise
tagamiseks kohustusliku vastutuskindlustuslepingu ning sama lõike punktides 1–5 on
sätestatud miinimumnõuded, mis tingimustele see leping peab vastama. Punkti 2 kohaselt peab
kindlustussumma olema vähemalt 1 300 380 eurot ühe kindlustusjuhtumi kohta ja 1 924 560
eurot aastas kõigi esitatud nõuete kohta. Viidatud piirmäärade aluseks on kindlustusturustuse
direktiivi43 artikli 10 lõige 4. Eelnõus esitatud muudatuse aluseks on sama artikli lõige 7, mille
kohaselt vaatab EIOPA vastutuskindlustuse summad korrapäraselt läbi, et võtta arvesse
muutusi Eurostati avaldatavas Euroopa tarbijahinnaindeksis ning esitab komisjonile
regulatiivsete tehniliste standardite eelnõu uute piirmäärade kehtestamiseks. Lõike 7 kohaselt
vaadati esimest korda määrad üle 31. detsembriks 2017 ning edaspidi toimub see iga viie aasta
järel.
42 https://www.riigikogu.ee/tegevus/eelnoud/eelnou/75cf6d3f-bcfe-436e-bd51-3a1333c185ad/ariseadustiku-muutmise-ja-
sellega-seonduvalt-teiste-seaduste-muutmise-seadus-ariuhingute-piiriulene-liikumine 43 Euroopa Parlamendi ja nõukogu direktiiv (EL) 2016/97, mis käsitleb kindlustustoodete turustamist.
34
30. juunil 2023 esitas EIOPA komisjonile regulatiivsete tehniliste standardite eelnõu, millega
kohandatakse baassummasid vastavalt direktiivi (EL) 2016/97 artikli 10 lõikele 7 (vaatlusalune
periood oli 1. jaanuarist 2018. a kuni 31. detsembrini 2022. a). Kuna viidatud perioodil muutus
indeks 20,32%, muudetakse vastutuskindlustuse summasid järgmiselt:
Kehtiv summa (EUR) Uus summa [muutus] (EUR)
Kindlustussumma ühe
juhtumi kohta
1 300 380 1 564 610 [+264 230]
Kindlustussumma aastas
kõigi esitatud nõuete kohta
1 924 560 2 315 610 [+391 050]
Seoses eeltooduga viiakse ka § 179 kindlustussummad vastavusse uute EL õigusest tulenevate
uute baassummadega.
KindlTS uus § 1811. DORA määrus kohaldub nii kindlustusmaakleritele kui ka
kindlustusagentidele (lõige 1), samas on siinjuures oluline asjaolu, et määrust ei pea rakendama
mikroettevõtjast ning väikese ja keskmise suurusega kindlustusvahendajad. Seega, kui
ettevõtjas töötab vähem kui 250 inimest ja selle ettevõtja aastakäive ei ületa 50 miljonit eurot
ja/või aastabilanss ei ületa 43 miljonit eurot, siis määrus sellele vahendajale ei kohaldu (lõige
3).
Lõikes 2 sätestatakse, et tõsistest IKT intsidentidest ja küberohtudest teavitamisele
kohaldatakse §-s 1051 sätestatut, kindlustusvahendajad peavad teavitama nii FI-d kui ka RIA-t
tõsistest IKT-ga seotud intsidentidest.
KindlTS § 186 lõike 2 punkti 13 muutmine. Kindlustusmaakleri sise-eeskirjade puhul
täpsustatakse, et kui kindlustusmaaklerile kohaldub DORA määrus (sõnastuses kasutatud
„asjakohasel juhul“), siis nõuded info- ja kommunikatsioonitehnoloogilise korralduse,
infoturbe tagamise ja talitluspidevuse kohta peaksid olema koostatud kooskõlas DORA
määruses sätestatud IKT riskijuhtimise raamistikuga. Kuna üldjuhul Eesti
kindlustusvahendajad ei kuulu oma suuruse tõttu DORA kohaldamisalasse, on oluline, et ka
neile jääks siiski kohustus kehtestada sise-eeskirjaga nõuded tehnoloogilise korralduse,
infoturbe tagamise ja talitluspidevuse kohta.
KindlTS § 210 lõike 1 punkt 4 (ei ole seotud DORA direktiiviga, kuid on tehniline muudatus,
et vältida seaduses olevat tühja viidet). Kuna ÄS § 386 lõike 2 punkt 4 on tunnistatud kehtetuks,
korrigeeritakse KindlTS sõnastust ja kustutatakse viide kehtetule ÄS punktile 4. ÄS-ist välja
jäetud punkt sõnastatakse KindlTS-is. Seega peab kolmanda riigi kindlustusvahendaja Eestis
filiaali asutamise loa taotlemisel esitama FI-le äriühingu põhikirja või ühingulepingu
asukohamaa seaduste kohaselt tõestatud ärakirja, kui põhikirja või ühingulepingu registrile
esitamine on nõutav ka ühingu asukohamaal.
KindlTS § 224 uus lõige 3. Paragrahv reguleerib järelevalve ülesandeid ja õigusi. Eelnõuga
lisatakse paragrahvi uus lõige, milles sätestatakse, et FI-l on DORA määruse kohase täitmise
üle järelevalve teostamisel kõik nimetatud määruses, KindlTS-is ja FIS-is sätestatud õigused.
Nimelt on DORA määruse artikli 50 lõike 1 kohaselt pädevatel asutustel kõik DORA määruse
kohaste ülesannete täitmiseks vajalikud järelevalve-, uurimis- ja karistuste määramise volitused
ning lõikes 2 on miinimumnimekiri volitustest. Näiteks on FI-l õigus tutvuda kõigi
dokumentidega või mis tahes vormis muude andmetega, mis võiksid olla FI ülesannete
täitmiseks olulised, ja saada või teha nende dokumentide koopiaid, teha kohapealseid kontrolle
või uurimisi ning nõuda määruse nõuete rikkumise korral parandus- ja ennetusmeetmete
35
võtmist. Kuna tegemist on miinimumnimekirjaga, siis on Finantsinspektsioonil õigus
rakendada ka muid KindlTS-is ja FISis sätestatud õigusi.
Finantsinspektsioonile antakse mh õigus rakendada DORA määruse artikli 50 lõikes 4
sätestatud halduskaristusi ja parandusmeetmeid. Sellisteks meetmeteks on:
- ettekirjutuse tegemine, et füüsiline või juriidiline isik lõpetaks rikkuva tegevuse ja hoiduks
selle tegevuse kordamisest;
- sellise tegevuse või tava peatamise nõudmine, mis on vastuolus määruse sätetega;
- mis tahes liiki meetmete võtmine, sealhulgas rahaliste meetmete, tagamaks, et
finantsasutused jätkavad õigusnormide järgimist;
- liikmesriigi õigusega lubatud ulatuses sideoperaatorite valduses olete andmeliiklusandmete
nõudmine, kui on piisav alus kahtlustada määruse nõuete rikkumist ja kui sellised andmed
võivad olla olulised määruse rikkumiste uurimisel (kuna liikmesriigi õigusega pole vastavat
õigust ette nähtud, siis käesolev meedet ei saa rakendada), ning
- avalike teadaannete väljastamine, mis sisaldavad füüsilise või juriidilise isiku identiteeti ja
rikkumise laadi.
Kuna tegemist on jällegi miinimumnimekirjaga, on FI-l õigus rakendada ka muid KindlTS-ist
ja FIS-ist tulenevaid meetmeid.
Et võetud meetmetel oleks hoiatav mõju laiemale avalikkusele, näeb määrus ette rikkumist
puudutavate otsuste avalikustamise. DORA määruse artikli 54 lõike 1 kohaselt avaldavad
pädevad asutused oma ametlikel veebisaitidel põhjendamatu viivituseta kõik halduskaristuse
määramise otsused, mida ei ole edasi kaevatud pärast seda, kui karistuse saanud isikut on
otsusest teavitatud. Lõige 5 näeb samas ette, et kui pädev asutus avaldab halduskaristuse
määramise otsuse, mis on asjaomastele kohtuasutustele edasi kaevatud, lisavad pädevad
asutused ühtlasi viivitamata oma ametlikule veebisaidile selle teabe ja hiljem kogu täiendava
teabe sellise edasikaebamise tulemuste kohta. Samuti avaldatakse kohtuotsus, millega
tühistatakse halduskaristuse määramise otsus.
Avaldada tuleb teave rikkumise liigi ja laadi kohta, vastutavad isikud ning määratud karistused.
Erandiks on olukorrad, kus juriidilise isiku nime või füüsilise isiku nime ja isikuandmete
avaldamine oleksid ebaproportsionaalsed või nende andmete avaldamine ohustaks
finantsturgude stabiilsust või pooleli olevat uurimist (eelkõige mõeldud järelevalve- ja
väärteomenetlust, kuid võib hõlmata ka kriminaalmenetlust tegevusloata tegutsemise puhul)
või põhjustaks asjaomasele isikule ebaproportsionaalselt suurt kahju. Sellisel puhul võib
avaldamise edasi lükata, jätta isikuid puudutav teave avaldamata või loobuda sellise kaasuse
kohta teabe avaldamisest üldse.
Kuigi DORA määruse artikkel 54 viitab vaid halduskaristuste avalikustamisele, on FI-l õigus
FIS § 54 lõike 5 kohaselt avalikustada lisaks väärteo asjas tehtud lahendile haldusakt või -
leping, kui see on vajalik investorite, finantsjärelevalve subjektide klientide või avalikkuse
kaitseks või finantsturu õigus- või korrapärase toimimise tagamiseks.
KindlTS uus § 2571. Seadust täiendatakse uue karistusnormiga, mida FI saab kohaldada DORA
määruses sätestatud nõuete rikkumise korral. Nimelt on DORA määruse artikli 50 lõikes 3
sätestatud, et liikmesriigid kehtestavad õigusnormid, milles sätestatakse asjakohased
halduskaristused ja parandusmeetmed määruse rikkumise puhuks, ning tagavad nende
tulemusliku rakendamise. Sama artikli lõike 4 punktis c on sätestatud, et liikmesriigid annavad
pädevatele asutustele õiguse võtta mis tahes liiki meetmeid, sealhulgas rahalisi meetmeid,
tagamaks, et finantssektori ettevõtjad jätkavad õigusnormide järgimist. Eelnõuga nähakse ette,
et füüsilise isiku korral on võimalik karistada rahatrahviga kuni 700 000 eurot või kuni
36
kahekordse väärteo tulemusel teenitud kasule või ära hoitud kahjule vastavas summas ning
juriidilise isiku korral karistatakse rahatrahviga kuni 5 000 000 eurot või kuni kahekordse
väärteo tulemusel teenitud kasule või ära hoitud kahjule vastavas summas või kuni kümme
protsenti juriidilise isiku või tema konsolideerimisgrupi konsolideeritud käibest. Määrade
kehtestamisel on lähtutud §-s 257 sätestatud juhtimissüsteemi määradest.
Uue paragrahvi lõike 1 sõnastuses on viidatud järgmistele DORA määruse nõuete rikkumistele:
- art 5–14: IKT- riski juhtimine;
- art 16–18, art 19 lõiked 1, 3–5: IKT intsidentide haldamine ja liigitamine ning nendest
teavitamine;
- art 24, 25, art 27 lõiked 1–8: digitaalse tegevuskerksuse testimine;
- art 28 lõiked 1–8, art 29, art 30 lõiked 1–4: kolmandast isikust tuleneva IKT-riski juhtimine;
- art 42 lg 3: kolmanda isikuga seotud riskide arvesse võtmine.
KindlTS § 2633 muutmine (ei ole seotud DORA direktiiviga). Kuna paragrahv ei koosne
lõigetest, kustutatakse paragrahvist tekstiosa „käesoleva lõike“ ning „esimese lause“ asemel on
viide „eelmisele lausele“.
Seaduse normitehniline märkus. Muudatusega lisatakse viide DORA direktiivile.
3.6. Eelnõu § 6. Krediidiandjate ja -vahendajate seadus
KAVS § 28 lõike 5 muutmine (ei ole seotud DORA direktiiviga, seaduses parandatakse EL
määruse nimetus õigeks). Euroopa Parlamendi ja Nõukogu määrusega (EL) 2019/2033, 27.
november 2019, mis käsitleb investeerimisühingute suhtes kohaldatavaid usaldatavusnõudeid
ning millega muudetakse määrusi (EL) nr 1093/2010, (EL) nr 575/2013, (EL) nr 600/2014 ja
(EL) nr 806/2014, muudeti Euroopa Parlamendi ja nõukogu määruse (EL) nr 575/2013
pealkirja, mistõttu viiakse KAVSis olev viide määrusele kooskõlla selle õige nimega.
3.7. Eelnõu § 7. Krediidiasutuste seaduse muutmine
Pangandusvaldkonna direktiivis 2013/36/EL on sätestatud üldised sisejuhtimise reeglid ja
operatsiooniriski käsitlevad sätted, mis sisaldavad nõudeid situatsiooni- ja talitluspidevuse
kavadele, mille alusel kaudselt käsitletakse IKT-riski. Selleks, et käsitleda IKT-riski
ühemõtteliselt ja selgelt, muudetakse situatsiooni- ja talitluspidevuse plaanide nõudeid, et need
hõlmaksid kooskõlas DORA määrusega ka IKT-riskiga seotud talitluspidevuse plaane ning
reageerimis- ja taasteplaane.
Lisaks, selleks et tagada õigusselgus ning et pankade järelevalveasutused teeksid tulemuslikult
kindlaks ja jälgiksid IKT-riski juhtimist kooskõlas digitaalse tegevuskerksuse uue
raamistikuga, muudetakse järelevalvealase läbivaatamise ja hindamise protsessi kohaldamisala.
Eesmärk on katta ka riske, mis tuuakse välja IKTga seotud tõsiseid intsidente puudutavates
aruannetes ning mis on ilmnenud panga poolt DORA määruse alusel läbi viidud digitaalse
tegevuskerksuse testimise käigus.
KAS § 206 lõike 3 täpsustamine (ei ole seotud DORA direktiiviga). Kuna kolmanda riigi
krediidiasutus saab Eestis teenust osutada vaid filiaali kaudu, on selguse huvides täpsustatud,
et filiaal peaks olema kantud ka Eesti äriregistrisse. Ehk kui ÄS § 384 lõige 1 ütleb, et välismaa
äriühing võib filiaali kanda äriregistrisse, siis kolmanda riigi krediidiasutuste puhul tuleb filiaal
äriregistrisse kanda, kuna piiriülene teenuse osutamine filiaali asutamata/registreerimata ei ole
37
kolmanda riigi krediidiasutuse poolt lubatud. ÄS § 384 lõike 1 muudatust on selgitatud44
järgmiselt: „Filiaali registreerimise kohustuse kaotamise eesmärgiks on muuta filiaali kaudu
tegutsemine Eestis vabatahtlikuks. Kui välismaa äriühing soovib täiendavalt oma tegevuse
Eesti nähtavaks teha, et tema andmed oleks Eesti äriregistris kättesaadavad, on võimalus filiaal
Eesti äriregistris registreerida. See ei ole siiski ainuke võimalus välismaa äriühingule Eestis
tegutsemiseks. Välismaa äriühing võib tegutseda Eestis piiriüleselt ka nii, et Eesti äriregistris
filiaali ei registreeri. Seetõttu ei saa tekkida küsimust, kas on võimalik tegutseda ka
registreerimata filiaali kaudu ja millised on nõuded registreerimata filiaalile. Kui välismaa
äriühing ei ole äriregistris filiaali registreerinud, siis ei saa tema tegevust Eestis nimetada filiaali
kaudu tegutsemiseks, vaid nimetatakse välismaa äriühingu piiriüleseks tegevuseks.“.
KAS § 21 lõike 2 punkti 5 muutmine ja uus punkt 6 (ei ole seotud DORA direktiiviga, kuid
on tehniline muudatus, et vältida seaduses olevat tühja viidet). Kuna ÄS § 386 lõike 2 punkt 4
on tunnistatud kehtetuks, korrigeeritakse KAS sõnastust ja kustutatakse viide kehtetule ÄS
punktile 4. ÄS-ist välja jäetud punkt sõnastatakse KAS-is. Seega peab kolmanda riigi
krediidiasutus Eestis filiaali asutamise loa taotlemisel esitama FI-le äriühingu põhikirja või
ühingulepingu asukohamaa seaduste kohaselt tõestatud ärakirja, kui põhikirja või
ühingulepingu registrile esitamine on nõutav ka ühingu asukohamaal.
KAS uus § 824. Seadusesse lisatakse eraldi paragrahv operatsiooniriski juhtimise nõuete
sätestamiseks. Krediidiasutuse riskijuhtimise nõuete hulka kuulub mh DORA määruse
rakendamine. Sealhulgas peavad krediidiasutus info- ja võrgusüsteemid olema loodud ja
hallatud vastavalt DORA määruses sätestatule.
Kui KAS § 82 lõige 5 sätestab, et krediidiasutus peab kõigi oluliste äriprotsesside kohta välja
töötama talitluspidevuse plaani majandustegevuse taastamise ja jätkuvuse tagamiseks, siis § 822
lõige 2 täpsustab, et selle üheks osaks on ka piisavate info- ja kommunikatsioonitehnoloogia
talitluspidevuse põhimõtete ja plaanide ning reageerimis- ja taasteplaanide kehtestamine.
Tõhusaid talitluspidevuse ja taasteplaane on vaja selleks, et krediidiasustus saaks kohe ja
kiiresti lahendada IKT intsidendid, eelkõige tulla toime küberrünnetega, piirates kahju ja seades
prioriteediks tegevuse jätkamise ja taastemeetmed kooskõlas oma varunduspõhimõtetega.
Sealjuures ei tohiks selline tegevuse jätkamine kuidagi seada ohtu võrgu- ja infosüsteemide
terviklust ja turvalisust või andmete kättesaadavust, autentsust, terviklust ja konfidentsiaalsust.
DORA määruse kohaselt testib krediidiasutus kõiki funktsioone toetavate IKT-süsteemide IKT
talitluspidevuse plaane ning IKT reageerimis- ja taasteplaane vähemalt kord aastas ja kriitilise
tähtsusega või olulisi funktsioone toetavate IKT-süsteemide oluliste muudatuste korral.
Sealjuures lisatakse testimisplaanidesse stsenaariumid, mis käsitlevad küberründeid ja esmase
IKT-taristu ja varuvõimsuse vahelist ümberlülitust, varundamist ja varurajatisi.
Lõige 3. Kuna DORA määruse põhjenduspunktis nr 16 on selgitatud, et DORA määrus on NIS2
suhtes lex specialis, siis ei kohaldata krediidiasutuse suhtes neid KüTS sätteid, millega võetakse
üle NIS2 teemad, mis on juba DORA määruses reguleeritud, näiteks sätted IKT riskijuhtimise,
IKT intsidentide haldamise ja eelkõige tõsistest IKT intsidentidest teavitamise, samuti
digitaalse tegevuskerksuse testimise, teabevahetuse kokkulepete ja kolmandatest isikutest
tulenevat IKT-riskide kohta. Seega, muudatusettepaneku kohaselt ei kohaldata
krediidiasutustele KüTS 2. peatükki. Samuti ei kohaldata HOS sätet (§ 41 lg 1), mis viitab
KüTS §-dele 7 ja 8, mis kuuluvad KüTS 2. peatükki, kuid mida, nagu eelpool osutatud,
krediidiasutuste suhtes ei kohaldata.
44 Äriseadustiku ja raamatupidamise seaduse muutmise seaduse (digilahendused äriühinguõiguses) eelnõu seletuskiri
38
KAS uus § 923. DORA määruse artikli 19 lõike 1 kohaselt peab finantsasutus teavitama pädevat
asutust (FI-d) tõsistest IKT-ga seotud intsidentidest. Lisaks annab määrus liikmesriigile
võimaluse ette näha, et mõned või kõik finantssektori ettevõtjad esitavad pädevale asutusele
või küberturbe intsidentide lahendamise üksustele, mis on määratud või loodud direktiivi (EL)
2022/2555 kohaselt, ka esialgse teate ja kõik raportid, kasutades DORA määruse artiklis 20
osutatud vorme (lõiked 1 ja 3). Lõikega 1 nähakse ette, et krediidiasutus teavitab lisaks FI-le
ka RIA-t. Teavitused ja raportid intsidentide kohta tuleb esitada DORA määruse alamaktides
kehtestatud vorme kasutades, lähtudes Finantsinspektsiooni kehtestatud
andmevahetusvormingust ja teabe edastusviisist (vt tehniliste standardite eelnõu
konsultatsioonidokumenti intsidentidest teavitamise kohta).45 Nagu käesoleva seletuskirja
punkti 2.3.2 alampunktis A kirjeldatud, kasutab finantsasutus nii FI kui ka RIA teavitamisel
ühekordset teabeedastamise viisi ehk selle kehtestamisel tuleks Finantsinspektsioonil ka selle
asjaoluga arvestada.
Intsidentide liigitamise kriteeriumid on ette nähtud DORA määruse art 18 lõikes 1, kuid
täpsemad kriteeriumid tõsiste intsidentide määratlemiseks töötavad välja ESA-d koostöös EKP
ja ENISA-ga.
Lõige 3. Selleks, et mitte kohaldada krediidiasutustele, kes on elutähtsa teenuse osutajad HOS
§ 38 lõike 1 tähenduses, topelt teavitamise nõuded, loetakse DORA kohase teavitusega HOS §
38 lõike 3 punktis 4 sätestatud elutähtsa teenuse osutaja teavitamise kohustus täidetuks, kui
tegemist on tõsise IKT intsidendiga. Selguse tagamiseks on lisatud lõikesse ka täpsustus, et kui
HOS § 37 lõike 3 punktis sätestatud sündmus ei liigitu tõsiseks IKT intsidendid, mis tähendab,
et sellest teavitamisele ei kohaldu ka DORA kohased teavitamise nõuded, kohaldub sellisest
sündmusest teavitamisele HOS ja selle § 37 lõike 2 alusel kehtestatud määrus. Vt selgitust ka
FIS 4711 lõike 3 juures.
Lõige 4. Lisaks sätestab DORA määruse art 19 lõige 2, et finantsasutused võivad vabatahtlikult
teatada asjaomasele pädevale asutusele olulistest küberohtudest, kui nad peavad ohtu
finantssüsteemi, teenusekasutajate või klientide jaoks oluliseks, sealjuures võivad liikmesriigid
otsustada, et need finantsasutused, kes teatavad vabatahtlikult esimese lõigu kohaselt, võivad
kõnealuse teate edastada ka direktiivi (EL) 2022/2555 kohaselt määratud või loodud küberturbe
intsidentide lahendamise üksustele.
KAS § 96 muutmine. Lõikesse 5 on lisatud viide digitaalse tegevuskerksuse testimise käigus
tuvastatud riskile. Nimelt jälgib ja hindab FI, kas krediidiasutuse rakendatavad strateegiad,
juhtimise korraldus, protseduurid, sealhulgas raamatupidamises rakendatavad protseduurid,
aruandlussüsteemid ja sisekontroll on kooskõlas Euroopa Parlamendi ja nõukogu määruse (EL)
nr 575/2013, krediidiasutuste seaduse ja muude õigusaktide nõuetega, selleks, et
usaldusväärselt hinnata riske, sealhulgas süsteemset riski, digitaalse tegevuskerksuse testimise
käigus ilmnenud riski ja stressitesti käigus ilmnenud riski. Nagu öeldud, uuendus on, et jälgida
ja hinnata tuleb ka digitaalse testimise käigus tuvastatud riske.
Muudatuse aluseks on direktiivi 2013/36/EL art 97 lõike 1 muudatus. Lõikesse 1 on lisatud
viide digitaalse tegevuskerksuse testimise käigus tuvastatud riskidele. Kuna sama artikli lõige
3 ütleb, et lõikes 1 osutatud läbivaatamisele ja hindamisele tuginedes otsustavad pädevad
asutused, kas korrad, strateegiad, protsessid ja mehhanismid, mida finantsinstitutsioonid on
rakendanud, ja nende omavahendid ning nende likviidsus tagavad riskide usaldusväärse
45https://www.eiopa.europa.eu/system/files/2023-12/JC%202023%2070%20-
%20%20CP%20on%20draft%20RTS%20and%20ITS%20on%20major%20incident%20reporting%20under%20DORA.pdf
39
juhtimise ja piisava katmise, käib see ka digitaalse tegevuskerksuse testimise käigus ilmnenud
riskide kohta. Seega hindab FI § 96 lõike 5 kohaselt ka digitaalse tegevuskerksuse testimise
käigus tuvastatud riskide puhul, kas likviidsus ja omavahendid on piisavad krediidiasutuse
usaldusväärseks juhtimiseks ja riskide katmiseks.
KAS § 99 muutmine. Direktiivi 2013/36/EL artikkel 65 sätestab, kellelt pädeval asutusel on
õigus nõuda teavet, mida ta vajab järelevalveliste ülesannete täitmiseks. Kehtivat nimekirja on
täpsustatud viitega kolmandast isikust info-ja kommunikatsioonitehnoloogia teenuse osutajale.
DORA määruse artikli 3 punkti 19 kohaselt on tegemist ettevõtjaga, kes osutab IKT-teenuseid.
KAS § 99 lõike 1 punkt 4 küll sätestab juba, et FI-l on järelevalve teostamiseks õigus nõuda
aruandeid, tasuta teavet, dokumente ning suulisi ja kirjalikke selgitusi järelevalve teostamisel
tähtsust omavate asjaolude kohta mh kolmandalt isikult (põhjendatud vajaduse korral), kuid
selguse huvides on uues punktis 41 eraldi välja toodud, et selliseks isikuks on ka IKT
teenuseosutaja.
KAS § 103 uus lõige 32. Paragrahv reguleerib ettekirjutuse tegemist ja muude meetmete
rakendamist. Eelnõuga lisatakse paragrahvi uus lõige, milles sätestatakse, et FI-l on DORA
määruse kohase täitmise üle järelevalve teostamisel kõik nimetatud määruses, KAS-is ja FIS-
is sätestatud õigused.
Nimelt on DORA määruse artikli 50 lõike 1 kohaselt pädevatel asutustel kõik DORA määruse
kohaste ülesannete täitmiseks vajalikud järelevalve-, uurimis- ja karistuste määramise volitused
ning lõikes 2 on miinimumnimekiri volitustest. Näiteks on FI-l õigus tutvuda kõigi
dokumentidega või mis tahes vormis muude andmetega, mis võiksid olla FI ülesannete
täitmiseks olulised, ja saada või teha nende dokumentide koopiaid, teha kohapealseid kontrolle
või uurimisi ning nõuda määruse nõuete rikkumise korral parandus- ja ennetusmeetmete
võtmist. Kuna tegemist on miinimumnimekirjaga, siis on Finantsinspektsioonil õigus
rakendada ka muid KAS-is ja FIS-is sätestatud õigusi.
Finantsinspektsioonile antakse mh õigus rakendada DORA määruse artikli 50 lõikes 4
sätestatud halduskaristusi ja parandusmeetmeid. Sellisteks meetmeteks on:
- ettekirjutuse tegemine, et füüsiline või juriidiline isik lõpetaks rikkuva tegevuse ja hoiduks
selle tegevuse kordamisest;
- sellise tegevuse või tava peatamise nõudmine, mis on vastuolus määruse sätetega;
- mis tahes liiki meetmete võtmine, sealhulgas rahaliste meetmete, tagamaks, et
finantsasutused jätkavad õigusnormide järgimist;
- liikmesriigi õigusega lubatud ulatuses sideoperaatorite valduses olete andmeliiklusandmete
nõudmine, kui on piisav alus kahtlustada määruse nõuete rikkumist ja kui sellised andmed
võivad olla olulised määruse rikkumiste uurimisel (kuna liikmesriigi õigusega pole vastavat
õigust ette nähtud, siis käesolev meedet ei saa rakendada), ning
- avalike teadaannete väljastamine, mis sisaldavad füüsilise või juriidilise isiku identiteeti ja
rikkumise laadi.
Kuna tegemist on jällegi miinimumnimekirjaga, on FI-l õigus rakendada ka muid KAS-ist ja
FIS-ist tulenevaid meetmeid.
Et võetud meetmetel oleks hoiatav mõju laiemale avalikkusele, näeb määrus ette rikkumist
puudutavate otsuste avalikustamise. DORA määruse artikli 54 lõike 1 kohaselt avaldavad
pädevad asutused oma ametlikel veebisaitidel põhjendamatu viivituseta kõik halduskaristuse
määramise otsused, mida ei ole edasi kaevatud pärast seda, kui karistuse saanud isikut on
otsusest teavitatud. Lõige 5 näeb samas ette, et kui pädev asutus avaldab halduskaristuse
määramise otsuse, mis on asjaomastele kohtuasutustele edasi kaevatud, lisavad pädevad
40
asutused ühtlasi viivitamata oma ametlikule veebisaidile selle teabe ja hiljem kogu täiendava
teabe sellise edasikaebamise tulemuste kohta. Samuti avaldatakse kohtuotsus, millega
tühistatakse halduskaristuse määramise otsus.
Avaldada tuleb teave rikkumise liigi ja laadi kohta, vastutavad isikud ning määratud karistused.
Erandiks on olukorrad, kus juriidilise isiku nime või füüsilise isiku nime ja isikuandmete
avaldamine oleksid ebaproportsionaalsed või nende andmete avaldamine ohustaks
finantsturgude stabiilsust või pooleli olevat uurimist (eelkõige mõeldud järelevalve- ja
väärteomenetlust, kuid võib hõlmata ka kriminaalmenetlust tegevusloata tegutsemise puhul)
või põhjustaks asjaomasele isikule ebaproportsionaalselt suurt kahju. Sellisel puhul võib
avaldamise edasi lükata, jätta isikuid puudutav teave avaldamata või loobuda sellise kaasuse
kohta teabe avaldamisest üldse.
Nii DORA määruse artikkel 54 kui ka krediidiasutuste direktiivi 2013/36/EL artikkel 68
viitavad halduskaristuste avaldamisele, kuid FIS § 54 lõige 5 annab FI-le õiguse avalikustada
täielikult või osaliselt nii väärteoasjas tehtud lahend kui ka haldusakt või -leping, kui see on
vajalik investorite, finantsjärelevalve subjektide klientide või avalikkuse kaitseks või
finantsturu õigus- või korrapärase toimimise tagamiseks.
KAS §-de 13423–13425 kehtetuks tunnistamine. Kuna eelnõuga lisandub vastutuse peatükki
uus paragrahv uue koosseisuga, tunnistatakse kehtetuks paragrahvid, mis oma sisult peaksid
olema vastutuse peatüki kolm kõige viimast paragrahvi – paragrahv, mis selgitab, kuidas
määrata juriidilise isiku ja konsolideerimisgrupi käivet trahvi suuruse arvutamisel, paragrahv
väärtegude aegumise kohta ning paragrahv väärtegude menetleja kohta. Paragrahvid
sätestatakse uuesti §-des 1401–1403.
KAS uus § 13426. Seadust täiendatakse uue karistusnormiga, mida FI saab kohaldada DORA
määruses sätestatud nõuete rikkumise korral. Nimelt on DORA määruse artikli 50 lõikes 3
sätestatud, et liikmesriigid kehtestavad õigusnormid, milles sätestatakse asjakohased
halduskaristused ja parandusmeetmed määruse rikkumise puhuks, ning tagavad nende
tulemusliku rakendamise. Sama artikli lõike 4 punktis c on sätestatud, et liikmesriigid annavad
pädevatele asutustele õiguse võtta mis tahes liiki meetmeid, sealhulgas rahalisi meetmeid,
tagamaks, et finantssektori ettevõtjad jätkavad õigusnormide järgimist. Eelnõuga nähakse ette,
et füüsilise isiku korral on võimalik karistada rahatrahviga kuni 5 000 000 eurot või kuni
kahekordse väärteo tulemusel teenitud kasule või ära hoitud kahjule vastavas summas ning
juriidilise isiku korral karistatakse rahatrahviga kuni 5 000 000 eurot või kuni kahekordse
väärteo tulemusel teenitud kasule või ära hoitud kahjule vastavas summas või kuni kümme
protsenti juriidilise isiku või tema konsolideerimisgrupi konsolideeritud käibest.
Uue paragrahvi sätestamisel on lähtutud KAS-is sätestatud kehtivatest karistusmääradest ja
karistuste määramise alustest. Finantssektori karistusnormid on suures osas reguleeritud liidu
õiguses, kus reeglina on ette nähtud analoogsed meetmed karistuste rakendamiseks (sh
fikseeritud rahatrahvi piirmäärad). Kuna DORA määruse nõuded integreeritakse DORA
direktiiviga vastavatesse finantssektori õigusaktidesse (krediidiasutuste puhul direktiivi
2013/36/EL), on ka eelnõu puhul võetud lähenemine, et DORA nõuete rikkumise eest ette
nähtud karistused oleksid kooskõlas vastavates liidu õigusaktides ette nähtud karistussätetega.
KAS uue paragrahvi puhul on võetud aluseks 2013/36/EL direktiivi artikli 67 lõike 1 punkt d
ja lõike 2 punktid e–g. DORA direktiiviga muudetakse 2013/36/EL direktiivi artiklit 74 nii, et
sinna lisatakse viide DORA nõuete rakendamisele. Kuna 2013/36/EL direktiivi artikli 66 lõike
1 punkt d viitab artikli 74 rikkumisele, hõlmab see ühtlasi DORA nõuete rikkumist.
Uue paragrahvi lõike 1 sõnastuses on viidatud järgmistele DORA määruse nõuete rikkumistele:
41
- art 5–14: IKT- riski juhtimine;
- art 16–18, art 19 lõiked 1, 3–5: IKT intsidentide haldamine ja liigitamine ning nendest
teavitamine;
- art 24, 25, art 27 lõiked 1–8: digitaalse tegevuskerksuse testimine;
- art 28 lõiked 1–8, art 29, art 30 lõiked 1–4: kolmandast isikust tuleneva IKT-riski juhtimine;
- art 42 lg 3: kolmanda isikuga seotud riskide arvesse võtmine.
KAS uued paragrahvi. Muudatus on normitehniline. 2002. aastal46 tunnistati kehtetuks KAS
§-d 135–140, mistõttu on kehtetuks tunnistatud §-de 13423–13425 uuesti sõnastamisel kasutatud
numeratsiooni 1401 ja 1402, vältimaks, et iga kord peab samad paragrahvid uuesti kehtetuks
tunnistama ja uuesti kehtestama, kui on soov lisada vastutuse peatükki uued karistuse
paragrahvid.
Finantssektori väärtegude kolmeaastased aegumistähtajad nähti ette finantsvaldkonna
väärteokaristuste reformi raames. Paralleelselt menetleti JuMi vastutusvaldkonda kuuluvat
karistusseadustiku muutmise ja sellega seonduvalt teiste seaduste muutmise seadust (Euroopa
Liidu õigusest tulenevad rahatrahvid), mille seletuskirjas on selgitatud, et
„väljatöötamiskavatsuse kooskõlastamisel avaldati arvamust, et kõrgema rahatrahvi
ülemmääraga karistatavate väärtegude korral tuleks sätestada senisest pikem aegumistähtaeg.
Eelnõu koostamisel leiti algselt, et kuna kehtiv õigus võimaldab teatud väärtegude korral
sätestada kaheaastase aegumistähtaja asemel kolmeaastase aegumistähtaja (KarS § 81 lg 3) ning
suurema ebaõigussisuga teise astme kuritegu aegub viie aastaga (KarS § 81 lg 1 p 2), ei ole
praegu erisuse loomine vajalik. Sellegipoolest leiti ka eelnõu kooskõlastamisel esitatud
arvamustes jätkuvalt, et väärtegude üldine aegumistähtaeg ei võimalda finants- ja andmekaitse
valdkonnas väärteomenetlusi tõhusalt läbi viia, arvestades nendes valdkondades toime
pandavate väärtegude keerukust“. Teise lugemise seletuskirjas on lisaks, et „esimese lugemise
läbinud eelnõus ei nähtud ette väärtegude aegumistähtaja pikendamist, vaid sätestati täiendavad
aegumise katkemise alused. Arvestades siiski teatud valdkondade eripära, võib senisest
suuremate trahvide korral olla põhjendatud ka pikemate aegumistähtaegade sätestamine. Nii
näiteks on EL määruse (EU) 468/2014 artikli 130 kohaselt Euroopa Keskpanga poolt
kohaldatavate trahvide korral aegumistähtajaks 5 aastat. Kui krediidiasutus ei allu Euroopa
Keskpanga järelevalvele, oleks Eestis sama rikkumise korral aegumistähtaeg põhjendamatult
lühem. Kehtiv KarS § 81 lg 3 näeb ette, et üldreeglina on väärteo aegumistähtaeg 2 aastat ning
seaduses sätestatud juhtudel võib ette näha kolmeaastase aegumistähtaja. Ettepaneku kohaselt
jääks KarS § 81 lg 3 üldreegliks 2 aastat, kuid seaduses võib ette näha ka kuni 5-aastase
aegumistähtaja (so kolme-, nelja- või viieaastase aegumistähtaja). Arvestades siiski, et 5-
aastane aegumistähtaeg on ka teise astme kuriteo aegumistähtajaks, peaks nii pikk
aegumistähtaeg väärtegude korral olema siiski erandlik.“.
Finantsvaldkonnas võib olla tegemist väga keeruliste kaasustega, mis on tavaliselt nn
peitsüüteod (nagu näiteks ka maksustamise valdkonna süüteod), s.t. rikkumise toimepanemise
asjaolud ei ole kergelt märgatavad, kannatanut ei ole või tema isik ei ole teada ja süüteo
toimepannud isik teeb kõik endast oleneva, et järelevalveasutus ei avastaks rikkumist.
Seaduse normitehniline märkus. Muudatusega lisatakse viide DORA direktiivile.
3.8. Eelnõu § 8. Makseasutuste ja e-raha asutuste seaduse muutmine
Direktiivis (EL) 2015/2366 on sätestatud erinormid IKT turvalisuskontrollide ja
riskimaanduselementide kohta seoses makseteenuste osutamiseks tegevusloa saamisega. Loa
46 https://www.riigiteataja.ee/akt/212735
42
andmise norme on direktiivis muudetud, et viia need kooskõlla DORA määrusega. Lisaks
võimaldatakse makseasutustel kasutada ühtset, täielikult ühtlustatud intsidentidest teatamise
mehhanismi seoses kõigi operatsiooni- ja turvaintsidentidega, olenemata sellest, kas need on
maksetega seotud või mitte.
MERAS § 3 muutmine (ei ole seotud DORA direktiiviga, seaduses parandatakse EL määruse
nimetus õigeks). Euroopa Parlamendi ja Nõukogu määrusega (EL) 2019/2033, 27. november
2019, mis käsitleb investeerimisühingute suhtes kohaldatavaid usaldatavusnõudeid ning
millega muudetakse määrusi (EL) nr 1093/2010, (EL) nr 575/2013, (EL) nr 600/2014 ja (EL)
nr 806/2014, muudeti Euroopa Parlamendi ja nõukogu määruse (EL) nr 575/2013 pealkirja,
mistõttu viiakse MERAS-es olev viide määrusele kooskõlla selle õige nimetusega.
MERAS § 4 lõike 1 punkti 9 muutmine. Paragrahvis 4 on reguleeritud, milliseid teenuseid ei
peeta makseteenusteks. Muudatus on terminoloogiline ning infotehnoloogiaalase teenuse
asemel kasutatakse terminit info- ja kommunikatsioonitehnoloogiateenus. Muudatuse aluseks
on DORA direktiiviga direktiivi 2015/2366 artikli 3 punkti j muutmine.
MERAS § 7 lõike 1 muutmine (ei ole seotud DORA direktiiviga). Muudatusega kehtestatakse
piirang, mille kohaselt võib e-raha asutus tegutseda üksnes aktsiaseltsina, kui ta osutab mh
makseteenuseid. Kehtiva seaduse kohaselt saab e-raha asutus osutada teatud makseteenuseid
osaühinguna, kuigi makseasutus peab samade teenuste osutamiseks olema aktsiaselts.
MERAS § 15 lõike 1 punkti 9 muutmine. Makseteenuste osutamise tegevusloa taotlemisel
tuleb FI-le muu hulgas esitada info- ja kommunikatsiooniteenuste kasutamise kord. IKT-teenus
on defineeritud DORA määruse artikli 3 punktis 21. Tegemist on digi- ja andmeteenusega, mida
osutatakse pidevalt IKT-süsteemide kaudu ühele või mitmele sise- või väliskasutajale,
sealhulgas riistvara teenusena ja riistvarateenused, mis hõlmab tehnilise toe pakkumist riistvara
pakkuja tarkvara- või püsivarauuenduste kaudu (va tavapärased analoogtelefoniteenused).
MERAS § 15 lõike 11 punktis 2 on täpsustatud, mida peab sisaldama turvapoliitika kirjeldus,
mis tuleb tegevusloa taotlemisel FI-le esitada. Muudatusega täpsustatakse, et turvapoliitika
kirjeldus peaks sisaldama mh selgitust, kuidas tagatakse digitaalsele tegevuskerksuse kõrge
tase, järgides sealjuures DORA määruse IKT riskijuhtimise nõudeid.
MERAS § 17 lõike 5 muutmine (ei ole DORA direktiivi ülevõtmine, muudatusega
täpsustatakse kehtivat õigust). MERAS § 17 lõige 5 sätestab, et FI võib jätta tegevusloa taotluse
läbi vaatamata, kui taotleja ei ole kõrvaldanud puudusi ettenähtud tähtaja jooksul või ei ole
esitanud tähtpäevaks nõutud andmeid ja dokumente. Muudatusettepanekuga laiendatakse
taotluse läbi vaatamata jätmise võimalust ka olukorrale, kus taotlus on esitatud oluliste
puudustega. Lisaks kustutatakse lõike teine lause.
MERAS § 24 lõike 3 muutmine ja täiendamine uue lõikega 41 (ei ole seotud DOA
direktiiviga). MERAS sätted, mis reguleerivad piiriülest makseteenuse osutamist kolmandas
riigis, on ebaselged ja puudulikud, mistõttu on FI-l takistatud selliste taotluste menetlemine,
mille puhul soovitakse teenust osutada kolmandas riigis. MERAS § 24 lõike 3 kehtiva sõnastuse
kohaselt kohaldatakse Eesti makseasutuse ja e-raha asutuse poolt kolmandas riigis teenuste
osutamisele MERAS §-des 25-28, § 29 lõigetes 1, 2, 8 ja 10 ning § 92 lõigetes 11 ja 12
sätestatut. MERAS §-d 25–28 reguleerivad kolmandas riigis filiaali asutamist. Piiriüleselt
teenuse osutamisele kohaldatakse § 29 lõigetes 1, 2, 8 ja 10 sätestatut. Paragrahv 29 reguleerib
teises lepinguriigis filiaali asutamist ja piiriüleselt teenuse osutamist. Lõike 1 kohaselt tuleb FI-
le esitada andmed ja dokumendid (lõike 2 kohaselt eesti keeles). Ükski järgnev viidatav säte ei
reguleeri, mida FI peab talle esitatud andmete ja dokumentidega tegema. Samas ei ole
43
asjakohane reguleerida kolmanda riigi järelevalveasutusega suhtlust (andmete ja dokumentide
edastamist ja sihtriigi järelevalveasutuselt hinnangu saamist), kuna see ei pruugi olla kooskõlas
kolmanda riigi õigusega. Lõike 8 teine lause viitab läbi lõike 6 punkti 1, et FI peab heakskiidu
andma, aga samas nimetatud heakskiidu aluseks on MERAS § 29 lõike 6 kohaselt „sihtriigi
finantsjärelevalve asutuse hinnang“, mille saamine, nagu osutatud, ei ole rakendatav, kui FI
pole sihtriigi järelevalveasutusele hinnangu saamiseks andmeid ja dokumente edastanud.
Muudatusettepanekuga nähakse ette, et kolmandas riigis piiriüleselt teenuse osutamiseks peab
makseasutusel ja e-raha asutusel olema selles riigis tegutsemise luba ning selle taotlemisele,
menetlemisele, andmisele ja kehtetuks tunnistamisele kohaldatakse samu reegleid, mis on ette
nähtud kolmandas riigis filiaali asutamisele. Samas, § 25 lõike 2 asemel tuleb FI-le esitada §
29 lõike 1 punktides 1 ja 2 nimetatud andmed ja dokumendid. Seega tuleb äriplaani asemel
esitada tegevuskava, mis sisaldab andmeid kõigi sihtriigis osutatavate teenuste kohta. Kuna
äriplaani asemel esitatakse tegevuskava, siis § 27 punktides 3 ja 4 äriplaani kohta sätestatut
tuleks kohaldada tegevuskava suhtes. Ehk FI võib keelduda filiaali asutamise loa andmisest,
kui makseasutuse või e-raha asutuse finantsseisund, organisatsiooniline ülesehitus ja muud
võimalused ei ole piisavad tegevuskavas nimetatud teenuste osutamiseks kolmandas riigis või
kui tegevuskava rakendamine võib kahjustada makseasutust või e-raha asutust, tema
aktsionäride huve, makseasutuse või e-raha asutuse finantsseisundit või tegevuse
usaldusväärsust Eestis, teises lepinguriigis või kolmandas riigis.
MERAS § 32 lõike 2 punkti 6 muutmine ja uus punkt 61 (ei ole seotud DORA direktiiviga,
kuid on tehniline muudatus, et vältida seaduses olevat tühja viidet). Kuna ÄS § 386 lõike 2
punkt 4 on tunnistatud kehtetuks, korrigeeritakse MERAS sõnastust ja kustutatakse viide
kehtetule ÄS punktile 4. ÄS-ist välja jäetud punkt sõnastatakse MERAS-es. Seega peab
kolmanda riigi makseasutus või e-raha asutus Eestis filiaali asutamise loa taotlemisel esitama
FI-le äriühingu põhikirja või ühingulepingu asukohamaa seaduste kohaselt tõestatud ärakirja,
kui põhikirja või ühingulepingu registrile esitamine on nõutav ka ühingu asukohamaal.
MERAS § 44 lõike 1 punkti 3 muutmine (ei ole seotud DORA direktiiviga). Muudatusega
parandatakse seaduses olev ekslik viide. Õige on viidata § 54 asemel §-le 39, mis reguleerib
olulise osaluse omandamisest FI teavitamist.
MERAS § 50 lõike 3 punkti 6 muutmine. Terminoloogiline muudatus, kus termin
infotehnoloogiaalase asemel kasutatakse terminit info- ja kommunikatsioonitehnoloogia.
MERAS § 50 lõike 3 punkti 9 muutmine. Makseasutuses ja e-raha asutuses peab sise-
eeskirjadega kehtestama intsidentidest teatamise korra. Korra kehtestamisel tuleks arvesse võtta
DORA määruse kolmandas peatükis sätestatud IKT intsidentide haldamise ja liigitamise ning
intsidentidest teavitamise nõudeid. DORA määruse kolmandas peatükis sätestatud nõudeid
kohaldatakse ka tegevust või turvalisust mõjutavate maksetega seotud intsidentide ning
tegevust või turvalisust mõjutavate maksetega seotud tõsiste intsidentide suhtes.
MERAS § 50 lõike 3 punkti 11 muutmine. Kehtivasse sõnastusse on lisatud viide DORA
määrusele, milles sätestatut tuleb arvesse võtta info- ja kommunikatsioonitehnoloogia
talitluspidevuse põhimõtete ja plaanide ning info- ja kommunikatsioonitehnoloogia
reageerimis- ja taasteplaanide koostamisel ja kehtestamisel, testimisel ja läbivaatamisel.
Tõhusaid talitluspidevuse ja taasteplaane on vaja selleks, et makseasutus saaks kohe ja kiiresti
lahendada IKT intsidendid, eelkõige tulla toime küberrünnetega, piirates kahju ja seades
prioriteediks tegevuse jätkamise ja taastemeetmed kooskõlas oma varunduspõhimõtetega.
44
Sealjuures ei tohiks selline tegevuse jätkamine kuidagi seada ohtu võrgu- ja infosüsteemide
terviklust ja turvalisust või andmete kättesaadavust, autentsust, terviklust ja konfidentsiaalsust.
Makseasutus testib kõiki funktsioone toetavate IKT-süsteemide IKT talitluspidevuse plaane
ning IKT reageerimis- ja taasteplaane vähemalt kord aastas ja kriitilise tähtsusega või olulisi
funktsioone toetavate IKT-süsteemide oluliste muudatuste korral. Sealjuures lisatakse
testimisplaanidesse stsenaariumid, mis käsitlevad küberründeid ja esmase IKT-taristu ja
varuvõimsuse vahelist ümberlülitust, varundamist ja varurajatisi.
MERAS § 52 muutmine (ei ole seotud DORA direktiiviga). Kui kehtiva õiguse kohaselt on
makseasutuste ja e-raha asutuste ümberkujundamine keelatud, siis eelnõuga lubatakse
riigisisest ümberkujundamist osaühingust aktsiaseltsiks. Makseasutus või e-raha asutus saab
seda siiski teha vaid FI loal (lõige 1), mis on täiendav tingimus võrreldes äriseadustikus
sätestatuga.
Olukorras, kus piiratud makseteenuste osutamisega alustanud ning osaühinguna registreeritud
makseasutus soovib osutada makseteenuseid, mida võib MERAS § 5 lõike 1 kohaselt osutada
aktsiaseltsina asutatud makseasutus, siis tuleks osaühinguna registreeritud asutus likvideerida
ja asutada uus makseasutus või asutada uus makseasutus, millega olemasolev ühendada.
Tulenevalt eeltoodust lubatakse osaühingust asutust ümber kujundada aktsiaseltsiks.
Lõikes 11. Osaühinguna asutatud asutuse ümber kujundamiseks aktsiaseltsiks peab ettevõtja
järgima muu hulgas äriseadustikus sätestatud nõudeid ja kohandama ettevõtte tegevuse
vastavaks.
Lõikes 12 on loetelu teabest, mis tuleb FI-le loa saamiseks esitada. Kuna lubatud on asutust
vaid osaühingust aktsiaseltsiks ümber kujundada, siis tuleb esitada selle osaühingu osanike
koosoleku otsus põhikirja muutmise kohta ja põhikirja muudetud tekst, osanike koosoleku
protokoll ja ümberkujundamisaruanne. Täpsemad nõuded sätestavad eelnimetatud aruandele
ÄS § 479 lõiked 1–2.
Lõige 13 sätestab finantsjärelevalve asutusele ajaraamistiku, mille jooksul peab FI tegema
motiveeritud otsuse ümberkujundamiseks nõusoleku andmise või sellest keeldumise kohta.
Nimetatud lõike kohaselt teeb FI ümberkujundamise otsuse kohta otsuse nõusoleku andmise
või sellest keeldumise kohta üldjuhul ühe kuu jooksul alates nõuetekohaste dokumentide ja
andmete saamisest. Maksimaalselt võib nimetatud otsuse tegemine aega võtta kolm kuud
ümberkujundamistaotluse esitamisest.
Lõige 14 kehtestab finantsjärelevalvele õiguse keelduda ümberkujundamise loa andmisest.
Kuivõrd loa andmisest keeldumisega kaasneb tugev isiku õiguste riive, siis on konkreetsemad
ümberkujundamise keeldumise alused äärmiselt olulised. Lõike kohaselt võib FI keelduda
ümberkujundamise loa andmisest, kui ümberkujundamise luba taotleva makseasutuse või e-
raha asutuse finantsseisund ei vasta MERAS-es sätestatud nõuetele (punkt 1) või
ümberkujundamisega seotud dokumentatsioon ei vasta MERAS-es või muudes õigusaktides,
näiteks äriseadustikus, sätestatud nõuetele (punkt 2). Kui ümberkujundamine võib muul
põhjusel kahjustada klientide huve (punkt 3), on FI-l samuti õigus keelduda ümberkujundamise
loa andmisest. Näiteks võib ümberkujundamine kahjustada klientide huvi, kui
ümberkujundamise protsessi tõttu langeb teenuse kvaliteet või kättesaadavus või toob
klientidele kaasa lisakulusid, mistõttu on oluline, et makseasutuse ja e-raha asutused
rakendaksid ümberkujundamisprotsessi hoolikalt ja klientide huve arvestades. Samuti on
oluline, et finantsjärelevalve õigus keelduda ei oleks piiratud üksnes eelnimetatud
olukordadega, vaid kui esineb muu oluline alus ümberkujundamise mittelubamiseks, siis punkt
45
4 annab selle aluse. Äriühingu ümberkujundamine võib kaasa tuua mitmeid õiguslikke
küsimusi, sealhulgas seoses lepingute ja kohustustega, kahjustades teiste osapoolte õigusi või
tekitades ebakindlustus, mistõttu on oluline, et järelevalveasutuse õigused keelduda
ümberkujundamise loa andmisest ei oleks väga kitsalt piiritletud ning ta saaks hinnata
ümberkujundamise mõju seoses õiguslike küsimuste, turukonkurentsi, finantsstabiilsuse
säilitamise ja tarbijakaitse tagamise vaates laiemalt.
Lõike 15 kohaselt avalikustab FI ümberkujundamisloa andmise otsuse hiljemalt otsuse
tegemisele järgneval tööpäeval oma veebilehel.
Lõige 16 sätestab, et äriregistrile esitatavale avaldusele lisatakse FI luba teenuseosutaja
ümberkujundamiseks, millest tulenevalt on vajalik saada FI luba enne ümberkujundamise
lõpuleviimist äriregistri kandega.
Lõige 17. Kuigi eelnõuga muudetakse makseasutuse ja e-raha asutuste ümberkujundamist
paindlikumaks, siis piiriülene ümberkujundamine ei ole jätkuvalt lubatud (ehk eelnõuga seda
ei muudeta), kuna piiriülese ümberkujundamisega ei ole tagatud piisav klientide huvide kaitse.
Direktiivi (EL) 2019/2121 põhjenduspunkti 57 kohaselt ei tohiks viidatud direktiiv mõjutada
liidu õiguse kohaldamist, mis reguleerib krediidivahendusettevõtjaid ja teisi finantsettevõtjaid,
ega vastavalt kõnealusele liidu õigusele kehtestatud liikmesriigi õigusnormide kohaldamist.
Makseasutuste tegevust reguleeriva direktiivi (EL) 2015/2366 põhjenduspunkti 6 kohaselt on
direktiivi eesmärgiks tagada kõrgetasemeline tarbijakaitse kogu liidu makseteenuste
kasutajatele. Selle tagamise üheks meetmeks on direktiivis ette nähtud makseasutuste
tegevusloa nõue. Arvestades, et finantssektoris teenuse osutamiseks peab isikul olema
tegevusluba, mille ta saab asukoha finantsjärelevalve asutuselt, ei ole viidatud direktiiviga
2015/2366 kooskõlas olukord, kus makseteenuse osutamine viiakse teise lepinguriiki, kus
makseasutusel puudub vastava lepinguriigi finantsjärelevalve asutuse luba selles riigis
makseteenuse osutamiseks. Samas ei ole tal võimalik tegevusluba taotleda, kui ta on samal ajal
(veel) Eesti registrisse kuuluv äriühing. Direktiivi (EL) 2015/2366 artikli 11 lõike 1 kohaselt
antakse tegevusluba üksnes juriidilisele isikule, kes on asutatud selles liikmesriigis (ehk enne
tegevusloa taotlemist peaks ta olema sellesse riiki nö juba ära liikunud).
Kuigi direktiiv (EL) 2019/2121 näeb ette meetmed võlausaldajate kaitseks, ei ole direktiiviga
tagatud piisav kliendikaitset juhuks, kui äriühing selles teises liikmesriigis tegevuse jätkamiseks
tegevusluba ei saa (teise riiki liikumine ei tähenda automaatselt liidu õigusest tuleneva
tegutsemisõiguse üleminekut). ÄS § 4918 reguleerib võlausaldajate kaitset, kuid tagatise
saamise õigus on vaid võlausaldajal, kelle nõuded on tekkinud enne piiriülese
ümberkujundamise projekti avalikustamist, ja nõuete osas, mis ei ole muutunud avalikustamise
kuupäevaks sissenõutavaks.
MERAS § 62 lõike 2 ja § 84 lõike 2 punkti 4 muutmine. Terminoloogiline täpsustus, kus
infotehnoloogia asendatakse terminiga info- ja kommunikatsioonitehnoloogia.
MERAS § 635 uus lõige 3. Makseasutus ja e-raha asutus on kohustatud järgima DORA
määruses sätestatud digitaalse tegevuskerksuse nõudeid. DORA kohaldamisulatusse kuuluvad
kõik makseasutused, sealhulgas sellised makseasutused, mille suhtes kohaldatakse direktiivi
(EL) 2015/2366 artikli 32 lõike 1 kohast erandit (MERAS § 11 lg 1 ja 2) ja kontoteabeteenuse
osutajad (makseasutused, mis osutavad MERAS § 3 lõike 1 punktis 8 osutatud teenust) ning
kõik e-raha asutused, sealhulgas e-raha asutused, mille suhtes kohaldatakse direktiivi
2009/110/EÜ artikli 9 lõike 1 kohast erandit (MERAS § 12 lõikes 1 nimetatud e-raha asutused).
46
DORA määruse artikli 16 kohaselt kohaldatakse erandi alla kuuluvatele makseasutustele ja e-
raha asutustele lihtsustatud IKT riskijuhtimise raamitiku nõudeid.
MERAS § 636 pealkirja muutmine. Kuna paragrahvi lisandub ka küberohtudest teavitamine,
viiakse paragrahvi pealkiri kooskõlla selle sisuga.
MERAS § 636 täiendamine uute lõigetega 5–8.
Lõige 5. Kuna makseasutustele ja e-raha asutustele hakkab kohalduma DORA määruses
sätestatud intsidentidest teatamise kord, on §-i 636 lisatud täpsustus, et DORA määruse
kohaldamisalasse kuuluvad makseasutused ja e-raha asutused, sealhulgas erandi alla kuuluvad
ja kontoteabe osutajad, lähtuvad operatsiooni- või turvaintsidendist teavitamisel (nii FI kui ka
klientide teavitamisel) DORA määruses sätestatust (DORA määrus kasutab terminit „tegevust
või turvalisust mõjutav maksetega seotud intsident“). Lõigetes 1 ja 2 sätestatu jääb kohalduma
ülejäänutele makseteenuse pakkujatele. Nimelt näeb DORA määruse artikkel 23 ette, et DORA
määruse peatükis 3 sätestatud nõudeid kohaldatakse ka tegevust või turvalisust mõjutavate
maksetega seotud intsidentide ning tegevust või turvalisust mõjutavate maksetega seotud tõsiste
intsidentide suhtes, kui need puudutavad krediidiasutusi, makseasutusi, kontoteabe teenuse
pakkujaid ning e-raha asutusi.
Intsident IKT-intsident Tegevust või turvalisust
mõjutav maksetega seotud
intsident
Finantssektori ettevõtja
poolt planeerimata
üksiksündmus või
omavahel seotud
sündmuste jada, mis:
- seab ohtu võrgu- ja
infosüsteemide turvalisuse;
- avaldab negatiivset mõju
andmete kättesaadavusele,
autentsusele, terviklusele
või konfidentsiaalsusele või
finantssektori ettevõtja
osutatavatele teenustele.
- avaldab negatiivset mõju
maksete andmete
kättesaadavusele,
autentsusele, terviklusele
või konfidentsiaalsusele
või finantssektori ettevõtja
osutatud maksetega
seotud teenustele,
olenemata sellest, kas
need sündmused on IKTga
seotud.
Tõsine IKT intsident Tõsine tegevust või
turvalisust mõjutav
maksetega seotud intsident
- millel on suur negatiivne
mõju võrgu- ja
infosüsteemidele, mis
toetavad finantssektori
ettevõtja kriitilise
tähtsusega või olulisi
funktsioone.
- avaldab suurt negatiivset
mõju osutatud maksetega
seotud teenustele.
Makseasutused ja e-raha asutused peavad DORA-s sätestatud eeskirjade alusel teavitama FI-d
nii tõsistest IKT-ga seotud intsidentidest kui ka osutatava makseteenusega seotud olulistest
operatsiooni- või turvaintsidentidest.
Lõike 6 kohaselt tuleb IKT-ga seotud tõsistest intsidentidest teavitada lisaks FI-le ka RIA-t.
Operatsiooni- või turvaintsidentidest teavitatakse üksnes FI-d. Sealjuures tuleb kirjeldatud
47
intsidentide puhul kasutada DORA määruse alusel kehtestatud teavitusvorme ja lähtuda
teavitamisel DORA alusel kehtestatud tähtaegadest.
Lisaks sätestab DORA määruse artikli 19 lõige 2, et finantsasutused võivad vabatahtlikult
teatada asjaomasele pädevale asutusele olulistest küberohtudest, kui nad peavad ohtu
finantssüsteemi, teenusekasutajate või klientide jaoks oluliseks, sealjuures võivad liikmesriigid
otsustada, et need finantsasutused, kes teatavad vabatahtlikult esimese lõigu kohaselt, võivad
kõnealuse teate edastada ka direktiivi (EL) 2022/2555 kohaselt määratud või loodud küberturbe
intsidentide lahendamise üksustele (lõige 8).
Kuivõrd FIS § 462 lõikes 8 on sätestatud, et Inspektsioon teavitab pärast MERAS § 636 lõikes
1 nimetatud teate saamist viivitamata Euroopa Pangandusjärelevalve Asutust ja Euroopa
Keskpanka olulisest operatsiooni- või turvaintsidendist, siis see kohaldub selliste teadete
suhtes, mis jäävad MERAS § 636 lõike 1 kohase teavitamise alla. DORA määruse kohaselt
saadud teated edastab FI EBA-le ja Euroopa Keskpangale DORA määruse artikli 19 lõike 6
kohaselt.
MERAS § 91 muutmine. Paragrahvi pealkiri viiakse kooskõlla selle sisuga, kuivõrd eelnõuga
lisatakse paragrahvi uus lõige, milles sätestatakse, et FI-l on DORA määruse kohase täitmise
üle järelevalve teostamisel kõik nimetatud määruses, MERAS-es ja FIS-is sätestatud õigused.
Nimelt on DORA määruse artikli 50 lõike 1 kohaselt pädevatel asutustel kõik DORA määruse
kohaste ülesannete täitmiseks vajalikud järelevalve-, uurimis- ja karistuste määramise volitused
ning lõikes 2 on miinimumnimekiri volitustest. Näiteks on FI-l õigus tutvuda kõigi
dokumentidega või mis tahes vormis muude andmetega, mis võiksid olla FI ülesannete
täitmiseks olulised, ja saada või teha nende dokumentide koopiaid, teha kohapealseid kontrolle
või uurimisi ning nõuda määruse nõuete rikkumise korral parandus- ja ennetusmeetmete
võtmist. Kuna tegemist on miinimumnimekirjaga, siis on FI-l õigus rakendada ka muid
MERAS-es ja FISis sätestatud õigusi.
Finantsinspektsioonile antakse mh õigus rakendada DORA määruse artikli 50 lõikes 4
sätestatud halduskaristusi ja parandusmeetmeid. Sellisteks meetmeteks on:
- ettekirjutuse tegemine, et füüsiline või juriidiline isik lõpetaks rikkuva tegevuse ja hoiduks
selle tegevuse kordamisest;
- sellise tegevuse või tava peatamise nõudmine, mis on vastuolus määruse sätetega;
- mis tahes liiki meetmete võtmine, sealhulgas rahaliste meetmete, tagamaks, et
finantsasutused jätkavad õigusnormide järgimist;
- liikmesriigi õigusega lubatud ulatuses sideoperaatorite valduses olete andmeliiklusandmete
nõudmine, kui on piisav alus kahtlustada määruse nõuete rikkumist ja kui sellised andmed
võivad olla olulised määruse rikkumiste uurimisel (kuna liikmesriigi õigusega pole vastavat
õigust ette nähtud, siis käesolev meedet ei saa rakendada), ning
- avalike teadaannete väljastamine, mis sisaldavad füüsilise või juriidilise isiku identiteeti ja
rikkumise laadi.
Kuna tegemist on jällegi miinimumnimekirjaga, on Finantsinspektsioonil õigus rakendada ka
muid MERAS-est ja FIS-ist tulenevaid meetmeid.
Et võetud meetmetel oleks hoiatav mõju laiemale avalikkusele, näeb määrus ette rikkumist
puudutavate otsuste avalikustamise. DORA määruse artikli 54 lõike 1 kohaselt avaldavad
pädevad asutused oma ametlikel veebisaitidel põhjendamatu viivituseta kõik halduskaristuse
määramise otsused, mida ei ole edasi kaevatud pärast seda, kui karistuse saanud isikut on
otsusest teavitatud. Lõige 5 näeb samas ette, et kui pädev asutus avaldab halduskaristuse
48
määramise otsuse, mis on asjaomastele kohtuasutustele edasi kaevatud, lisavad pädevad
asutused ühtlasi viivitamata oma ametlikule veebisaidile selle teabe ja hiljem kogu täiendava
teabe sellise edasikaebamise tulemuste kohta. Samuti avaldatakse kohtuotsus, millega
tühistatakse halduskaristuse määramise otsus.
Avaldada tuleb teave rikkumise liigi ja laadi kohta, vastutavad isikud ning määratud karistused.
Erandiks on olukorrad, kus juriidilise isiku nime või füüsilise isiku nime ja isikuandmete
avaldamine oleksid ebaproportsionaalsed või nende andmete avaldamine ohustaks
finantsturgude stabiilsust või pooleli olevat uurimist (eelkõige mõeldud järelevalve- ja
väärteomenetlust, kuid võib hõlmata ka kriminaalmenetlust tegevusloata tegutsemise puhul)
või põhjustaks asjaomasele isikule ebaproportsionaalselt suurt kahju. Sellisel puhul võib
avaldamise edasi lükata, jätta isikuid puudutav teave avaldamata või loobuda sellise kaasuse
kohta teabe avaldamisest üldse.
Kuigi DORA määruse artikkel 54 viitab vaid halduskaristuste avalikustamisele, on FI-l õigus
FIS § 54 lõike 5 kohaselt avalikustada lisaks väärteo asjas tehtud lahendile haldusakt või -
leping, kui see on vajalik investorite, finantsjärelevalve subjektide klientide või avalikkuse
kaitseks või finantsturu õigus- või korrapärase toimimise tagamiseks.
MERAS § 92 muudatused. Seoses MERAS § 24 uue lõikega 41 tuleb muuta § 92 lõikeid 11 ja
12 nii, et FI-l on viidatud lõigetes sätestatud õigused ja kohustused seoses välisriigis asutatud
filiaaliga (kehtiva sõnastus piirdub lepinguriigi filiaaliga).
MERAS uus § 1091. Seadust täiendatakse uue karistusnormiga, mida FI saab kohaldada DORA
määruses sätestatud nõuete rikkumise korral. Nimelt on DORA määruse artikli 50 lõikes 3
sätestatud, et liikmesriigid kehtestavad õigusnormid, milles sätestatakse asjakohased
halduskaristused ja parandusmeetmed määruse rikkumise puhuks, ning tagavad nende
tulemusliku rakendamise. Sama artikli lõike 4 punktis c on sätestatud, et liikmesriigid annavad
pädevatele asutustele õiguse võtta mis tahes liiki meetmeid, sealhulgas rahalisi meetmeid,
tagamaks, et finantssektori ettevõtjad jätkavad õigusnormide järgimist. Eelnõuga nähakse ette,
et füüsilise isiku korral on võimalik karistada rahatrahviga kuni 5 000 000 eurot või kuni
kahekordse väärteo tulemusel teenitud kasule või ära hoitud kahjule vastavas summas ning
juriidilise isiku korral karistatakse rahatrahviga kuni 5 000 000 eurot või kuni kahekordse
väärteo tulemusel teenitud kasule või ära hoitud kahjule vastavas summas või kuni kümme
protsenti juriidilise isiku või tema konsolideerimisgrupi konsolideeritud käibest.
Uue paragrahvi sätestamisel on lähtutud MERAS-es sätestatud kehtivatest karistusmääradest ja
karistuste määramise alustest. Finantssektori karistusnormid on suures osas reguleeritud liidu
õiguses, kus reeglina on ette nähtud analoogsed meetmed karistuste rakendamiseks (sh
fikseeritud rahaliste suuruste piirmäärad). Makseteenuste ja e-raha teenuste valdkonna EL õigus
ei näe ette koosseise konkreetsete karistuste kohta ega rahalisi trahve. Direktiivi 2015/2366
artikli 103 kohaselt tuleb liikmesriigil tagada rikkumiste korral tõhusate, proportsionaalsete ja
hoiatavate karistuste rakendamine. Kuna direktiivist 2009/110/EÜ ei tulene otseselt kohustust
kohaldada kõrgemaid rahatrahvi määrasid, siis kehtivas MERAS-es kõrgendatud ülemmääraga
maksimaalse rahatrahvi kohaldamisel on lähtutud põhimõttest, et direktiivist tulenevate
tegevusnõuete rikkumiste puhul kohaldatakse pangandusdirektiivis (2013/36/EL) ette nähtud
rahatrahvi määrasid. Seega on ka uue lõike 1091 sõnastamisel võetud lähenemine, et see oleks
kooskõlas MERAS §-dega 109 ja 110.
Uue paragrahvi lõike 1 sõnastuses on viidatud järgmistele DORA määruse nõuete rikkumistele:
- art 5–14: IKT- riski juhtimine;
49
- art 16–18, art 19 lõiked 1, 3–5: IKT intsidentide haldamine ja liigitamine ning nendest
teavitamine;
- art 24, 25, art 27 lõiked 1–8: digitaalse tegevuskerksuse testimine;
- art 28 lõiked 1–8, art 29, art 30 lõiked 1–4: kolmandast isikust tuleneva IKT-riski juhtimine;
- art 42 lg 3: kolmanda isikuga seotud riskide arvesse võtmine.
Seaduse normitehniline märkus. Muudatusega lisatakse viide DORA direktiivile.
3.9. Eelnõu § 9. Väärtpaberite registri pidamise seaduse muutmine
EVKS § 71 lõike 5 muutmine ja lõike 7 kustutamine. 2022. aasta 16. augustil jõustusid KüTS
muudatused, millega ühtlasi tunnistati kehtetuks avaliku teabe seaduse (AvTS) § 439 lõike 1
punktis 4 sätestatud Vabariigi Valitsuse volitusnorm infosüsteemide turvameetmete süsteemi
kehtestamiseks, millele EVKS § 71 kehtivas lõikes 7 on viidatud. Volitusnormi kustutamist on
selgitatud järgmiselt: „Kuna eelnõuga luuakse KüTS-is võimalus kehtestada E-ITS47, siis tuleb
ISKE48 määruse volitusnorm tunnistada kehtetuks. /…/ E-ITS-i määruse volitusnormi
paiknemine KüTS-is ja selle rakendusaktides on avaliku teabe töötlemist ja küberturvalisust
reguleerivaid õigusakte, nende omavahelisi seoseid ning struktuuri arvesse võttes mõistlik“.
Seega tunnistatakse lõige 7 kehtetuks, kuna viitab kehtetule AvTS volitusnormile.
Registripidajale hakkavad kohalduma DORA määruse nõuded.
Kuna lõikes 5 on viide lõikele 7, mis tunnistatakse kehtetuks, tuleb muuta ka lõike 5 sõnastust
ja sealt välja jätta viide lõikele 7.
EVKS täiendamine uue §-ga 302 nähakse ette uus paragrahv registripidaja digitaalse
tegevuskerksuse nõuete rakendamiseks.
Lõige 1. DORA määruse artikli 2 lõike 1 punkti g kohaselt kuuluvad väärtpaberite
keskdepositooriumid samuti DORA kohaldamisalasse. Kuigi tegemist on otsekohalduva
määrusega, on selguse huvides lõikes 1 viide DORA määruse nõuete rakendamisele.
Lõige 2. KüTS § 3 lõike 4 punkti 1 kohaselt kohaldatakse KüTS-is teenuse osutaja kohta
sätestatut ka andmekogu vastutavale töötlejale ja volitatud töötlejale. Muudatust on eelnevalt
selgitatud järgmiselt: „Andmekogude vastutavate ja volitatud töötleja hõlmamine avaliku
sektori loetelu alla on vajalik ka põhjusel, et eelnõu asendab AvTS-i alusel kehtestatud ISKE
KüTS-i alusel kehtestava E-ITS-iga ning selleks, et tagada andmekogude küberturvalisus, tuleb
seega ka täpsustada KüTS-i kohaldamisala.“ Andmekogu on andmekogu AvTS § 431 lõike 1
tähenduses (andmekogu on riigi, kohaliku omavalitsuse või muu avalik-õigusliku isiku või
avalikke ülesandeid täitva eraõigusliku isiku infosüsteemis töödeldavate korrastatud andmete
kogum, mis asutatakse ja mida kasutatakse seaduses, selle alusel antud õigusaktis või
rahvusvahelises lepingus sätestatud ülesannete täitmiseks).
EVKS § 12 lõike 2 kohaselt on Eesti väärtpaberite register riigi infosüsteemi kuuluv andmekogu
aktsiate, võlakohustuste ja teiste EVKS § 2 lõigetes 1 ja 2 nimetatud väärtpaberite ning nende
väärtpaberitega tehtavate toimingute registreerimiseks. Registripidaja on keskdepositoorium,
kellele on antud õigus registrit pidada.
47 Eesti infoturbestandard, https://www.riigiteataja.ee/aktilisa/1211/2202/2034/MKM_m101_lisa.pdf# 48 infosüsteemide kolmeastmelise etalonturbe süsteem
50
Kuna registripidaja peab lõike 1 kohaselt juba rakendama DORA määruses sätestatud IKT-
riskide juhtimise ja intsidentidest teavitamise nõudeid ja vältimaks nõuete dubleerimist,
nähakse lõikega 2 ette, et registripidajale ei kohaldata KüTS-i neid sätteid, mis on juba kaetud
DORA määrusega. NIS 2 direktiivi põhjenduspunkti 28 kohaselt tuleks NIS2 direktiivi sätete
asemel kohaldada DORA määruse sätteid, mis käsitlevad IKT riskijuhtimist, IKT intsidentide
haldamist ja eelkõige tõsistest IKT intsidentidest teavitamist, samuti digitaalse tegevuskerksuse
testimist, teabevahetuse kokkuleppeid ja kolmandatest isikutest tulenevat IKT-riski. Seetõttu ei
tohiks liikmesriigid NIS2 direktiivi sätteid, mis käsitlevad küberturvalisuse riskijuhtimist ja
teatamiskohustust, järelevalvet ja täitmise tagamist, DORA määruse kohaldamisalasse jäävate
finantssektori ettevõtjate suhtes kohaldada.
Lõiked 3 ja 4. DORA määruse artikli 19 lõike 1 kohaselt peab finantsasutus teavitama pädevat
asutust tõsistest IKT-ga seotud intsidentidest. Lisaks annab määrus liikmesriigile võimaluse
ette näha, et mõned või kõik finantssektori ettevõtjad esitavad pädevale asutusele või
küberturbe intsidentide lahendamise üksustele, mis on määratud või loodud direktiivi (EL)
2022/2555 kohaselt, ka esialgse teate ja kõik raportid, kasutades DORA määruse artiklis 20
osutatud vorme. Lõikega 3 nähakse ette, et registripidaja teavitab lisaks FI-le ka RIA-t.
Teavitused ja raportid intsidentide kohta tuleb esitada DORA määruse alamaktides kehtestatud
vorme kasutades, lähtudes Finantsinspektsiooni kehtestatud andmevahetusvormingust ja teabe
edastusviisist (vt tehniliste standardite eelnõu konsultatsioonidokumenti intsidentidest
teavitamise kohta).49 Nagu käesoleva seletuskirja punkti 2.3.2 alampunktis A kirjeldatud,
kasutab finantsasutus nii FI kui ka RIA teavitamisel ühekordset teabeedastamise viisi ehk selle
kehtestamisel tuleks Finantsinspektsioonil ka selle asjaoluga arvestada.
Intsidentide liigitamise kriteeriumid on ette nähtud DORA määruse artikli 18 lõikes 1, kuid
täpsemad kriteeriumid tõsiste intsidentide määratlemiseks töötavad välja ESA-d koostöös EKP
ja ENISA-ga.
Lõige 5. Lisaks sätestab DORA määruse artikli 19 lõige 2, et finantsasutused võivad
vabatahtlikult teatada asjaomasele pädevale asutusele olulistest küberohtudest, kui nad peavad
ohtu finantssüsteemi, teenusekasutajate või klientide jaoks oluliseks, sealjuures võivad
liikmesriigid otsustada, et need finantsasutused, kes teatavad vabatahtlikult esimese lõigu
kohaselt, võivad kõnealuse teate edastada ka direktiivi (EL) 2022/2555 kohaselt määratud või
loodud küberturbe intsidentide lahendamise üksustele.
Lõike 6 eesmärk on juhtida tähelepanu spetsiifilisele sättele, mille kohaselt peab DORA
määrusest tulenevalt olema keskdepositooriumil vähemalt üks varutöötluskoht, millel on
ärivajaduste rahuldamiseks piisavad ressursid, võimed, funktsioonid ja personalikorraldus.
DORA määruse artikli 12 lõike 5 kohaselt peab varutöötluskoht asuma peamisest töötluskohast
geograafiliselt eemal, et tagada nende erinev riskiprofiil ja vältida, et varutöötluskohta
kahjustab peamisele töötluskohale mõju avaldanud sündmus. Lisaks peab see varutöötluskoht
suutma tagada peamise töötluskohaga kriitilise tähtsusega või oluliste funktsioonide
järjepidevuse või sellise teenuse taseme, mida on vaja, et saaks täita oma kriitilise tähtsusega
funktsioone vastavalt taaste-eesmärkidele. See koht peaks olema registripidaja töötajatele kohe
ligipääsetav.
49https://www.eiopa.europa.eu/system/files/2023-12/JC%202023%2070%20-
%20%20CP%20on%20draft%20RTS%20and%20ITS%20on%20major%20incident%20reporting%20under%20DORA.pdf
51
Lõige 7. DORA määruse artikli 2 lõike 1 punkti g kohaselt kuuluvad DORA määruse
kohaldamisalasse väärtpaberite keskdepositooriumid, kes on defineeritud määruse artikli 3
punktis 42. Tegemist on määruse (EL) nr 909/2014 (CSDR) artikli 2 lõike 1 punktis 1
määratletud väärtpaberite keskdepositooriumidega. Eesti väärtpaberite keskregistri seaduse
muutmise ja sellega seonduvalt teiste seaduste muutmise seaduse50 seletuskirjas on selgitatud,
et pensioniosakud ei kuulu CSDR-määruse reguleerimisalasse. Seega ei kuulu pensioniregistri
pidaja ka DORA määruse kohaldamisalasse. Seetõttu on ka lõikes 7 täpsustatud, et
pensioniregistri pidajale ei kohaldata uues paragrahvis sätestatut, sj DORA määruse
rakendamise kohustust. Samuti ei välistata neid KüTS 2. peatüki nõuete rakendamisest.
EVKS § 38 uue lõike 13 kohaselt teostab FI järelevalvet mh DORA määruses sätestatud nõuete
täitmise üle.
EVKS § 39 uus lõige 11. Eelnõuga lisatakse paragrahvi uus lõige, milles sätestatakse, et FI-l
on DORA määruse kohase täitmise üle järelevalve teostamisel kõik nimetatud määruses,
EVKS-is ja FIS-is sätestatud õigused.
Nimelt on DORA määruse artikli 50 lõike 1 kohaselt pädevatel asutustel kõik DORA määruse
kohaste ülesannete täitmiseks vajalikud järelevalve-, uurimis- ja karistuste määramise volitused
ning lõikes 2 on miinimumnimekiri volitustest. Näiteks on FI-l õigus tutvuda kõigi
dokumentidega või mis tahes vormis muude andmetega, mis võiksid olla FI ülesannete
täitmiseks olulised, ja saada või teha nende dokumentide koopiaid, teha kohapealseid kontrolle
või uurimisi ning nõuda määruse nõuete rikkumise korral parandus- ja ennetusmeetmete
võtmist. Kuna tegemist on miinimumnimekirjaga, siis on FI-l õigus rakendada ka muid
MERAS-es ja FISis sätestatud õigusi.
Finantsinspektsioonile antakse mh õigus rakendada DORA määruse artikli 50 lõikes 4
sätestatud halduskaristusi ja parandusmeetmeid. Sellisteks meetmeteks on:
- ettekirjutuse tegemine, et füüsiline või juriidiline isik lõpetaks rikkuva tegevuse ja hoiduks
selle tegevuse kordamisest;
- sellise tegevuse või tava peatamise nõudmine, mis on vastuolus määruse sätetega;
- mis tahes liiki meetmete võtmine, sealhulgas rahaliste meetmete, tagamaks, et
finantsasutused jätkavad õigusnormide järgimist;
- liikmesriigi õigusega lubatud ulatuses sideoperaatorite valduses olete andmeliiklusandmete
nõudmine, kui on piisav alus kahtlustada määruse nõuete rikkumist ja kui sellised andmed
võivad olla olulised määruse rikkumiste uurimisel (kuna liikmesriigi õigusega pole vastavat
õigust ette nähtud, siis käesolev meedet ei saa rakendada), ning
- avalike teadaannete väljastamine, mis sisaldavad füüsilise või juriidilise isiku identiteeti ja
rikkumise laadi.
Kuna tegemist on jällegi miinimumnimekirjaga, on Finantsinspektsioonil õigus rakendada ka
muid EVKS-ist ja FIS-ist tulenevaid meetmeid.
EVKS § 39 uus lõige 41. FI peab avalikustama DORA määruse rikkumisega seoses võetud
meetmete alusel tehtud otsuse kohta teate oma veebilehel nagu on sätestatud artiklis 54.
Et võetud meetmetel oleks hoiatav mõju laiemale avalikkusele, näeb määrus ette rikkumist
puudutavate otsuste avalikustamise. DORA määruse artikli 54 lõike 1 kohaselt avaldavad
pädevad asutused oma ametlikel veebisaitidel põhjendamatu viivituseta kõik halduskaristuse
50 https://www.riigikogu.ee/tegevus/eelnoud/eelnou/cec5e4d6-98a5-4016-965a-c151c9e94354/eesti-vaartpaberite-
keskregistri-seaduse-muutmise-ja-sellega-seonduvalt-teiste-seaduste-muutmise-seadus
52
määramise otsused, mida ei ole edasi kaevatud pärast seda, kui karistuse saanud isikut on
otsusest teavitatud. Lõige 5 näeb samas ette, et kui pädev asutus avaldab halduskaristuse
määramise otsuse, mis on asjaomastele kohtuasutustele edasi kaevatud, lisavad pädevad
asutused ühtlasi viivitamata oma ametlikule veebisaidile selle teabe ja hiljem kogu täiendava
teabe sellise edasikaebamise tulemuste kohta. Samuti avaldatakse kohtuotsus, millega
tühistatakse halduskaristuse määramise otsus.
Avaldada tuleb teave rikkumise liigi ja laadi kohta, vastutavad isikud ning määratud karistused.
Erandiks on olukorrad, kus juriidilise isiku nime või füüsilise isiku nime ja isikuandmete
avaldamine oleksid ebaproportsionaalsed või nende andmete avaldamine ohustaks
finantsturgude stabiilsust või pooleli olevat uurimist (eelkõige mõeldud järelevalve- ja
väärteomenetlust, kuid võib hõlmata ka kriminaalmenetlust tegevusloata tegutsemise puhul)
või põhjustaks asjaomasele isikule ebaproportsionaalselt suurt kahju. Sellisel puhul võib
avaldamise edasi lükata, jätta isikuid puudutav teave avaldamata või loobuda sellise kaasuse
kohta teabe avaldamisest üldse.
Kuigi DORA määruse artikkel 54 viitab vaid halduskaristuste avalikustamisele, on määruse
(EL) nr 909/2014 (CSDR) artiklis 62 sätestatud, et viidatud määruse rikkumise eest
avalikustatakse otsus nii halduskaristuse kui ka muu haldusmeetme kohta. Kuna DORA nõuded
integreeritakse viidatud määrusesse (vt DORA määruse artiklit 61), on pädeval asutusel alus
avalikustada lisaks halduskaristustele ka muud meetmed (nt ettekirjutus), kui rikutakse DORA
nõudeid.
3.10. Eelnõu § 10. Väärtpaberituru seaduse muutmine
VpTS § 1 lõike 2 muutmine. DORA määruse kohaldamisalasse kuuluvad mh
ühisrahastusteenuse osutajad, kes on määratletud Euroopa Parlamendi ja nõukogu määruse
(EL) 2020/1503 (35) artikli 2 lõike 1 punktis e. Lõike 2 sõnastust täiendatakse viitega VpTS
uuele §-le 23790 ehk karistusi DORA määruse nõuete rikkumise eest kohaldatakse ka viidatud
ühisrahastusteenuse osutajatele.
VpTS § 101 muutmine (ei ole seotud DORA ülevõtmisega, seaduses parandatakse EL määruse
nimetus õigeks). Euroopa Parlamendi ja Nõukogu määrusega (EL) 2019/2033, 27. november
2019, mis käsitleb investeerimisühingute suhtes kohaldatavaid usaldatavusnõudeid ning
millega muudetakse määrusi (EL) nr 1093/2010, (EL) nr 575/2013, (EL) nr 600/2014 ja (EL)
nr 806/2014, muudeti Euroopa Parlamendi ja nõukogu määruse (EL) nr 575/2013 pealkirja,
mistõttu viiakse VpTS-is olev viide määrusele kooskõlla selle õige nimetusega.
VpTS § 66 lõike 2 punkti 5 ja § 701 lõike 3 punkti 5 muutmine ning uued punktid (ei ole
seotud DORA direktiiviga, kuid on tehniline muudatus, et vältida seaduses olevat tühja viidet).
Kuna ÄS § 386 lõike 2 punkt 4 on tunnistatud kehtetuks, korrigeeritakse VpTS sõnastust ja
kustutatakse viide kehtetule ÄS punktile 4. ÄS-ist välja jäetud punkt sõnastatakse VpTS-is.
Seega peab kolmanda riigi investeerimisühing Eestis filiaali asutamise loa või piiriülese teenuse
osutamise loa taotlemisel esitama FI-le äriühingu põhikirja või ühingulepingu asukohamaa
seaduste kohaselt tõestatud ärakirja, kui põhikirja või ühingulepingu registrile esitamine on
nõutav ka ühingu asukohamaal.
VpTS § 811 täiendamine uue lõikega 41. Paragrahv reguleerib investeerimisühingu üldisi
organisatsiooninõudeid. Muudatusega nähakse ette investeerimisühingu kohustus rakendada
mh DORA määrust.
53
VpTS § 826 lõike 4 muutmine. Paragrahv reguleerib olulise tööülesande või tegevuse
edasiandmist, sealjuures on olulised tööülesanded ja tegevused määratletud komisjoni
delegeeritud määruse (EL) nr 2017/565 artiklis 30. Muudetava lõike 4 kehtiva sõnastuse
kohaselt peab olulise tööülesande või tegevuse edasiandmisel olema täidetud viidatud
delegeeritud määruses ja VpTS-is sätestatud nõuded. Lõike sõnastusse lisatakse viide DORA
määrusele ehk info- ja kommunikatsioonitehnoloogia teenuse edasiandmisel tuleb mh täita
DORA määruses ette nähtud edasiandmise nõudeid (lisaks määruses (EL) nr 2017/565
sätestatule).
VpTS § 8215 lõike 1 teise lausesse lisatakse viide DORA määrusele. Lõike 1 esimene lause
ütleb, et algoritmkauplemisega tegelemisel, sealhulgas algoritmipõhise välkkauplemistehnika
kasutamisel, rakendab investeerimisühing oma äritegevuse jaoks sobivaid ja tõhusaid süsteeme
ning riskikontrolli, tagamaks, et algoritmkauplemiseks kasutatav infotehnoloogiline süsteem on
töökindel ja piisava võimsusega, selles rakendatakse asjakohaseid kauplemiskünniseid ja -
piirmäärasid ning see ennetab ekslike korralduste andmist ja muid toiminguid, mis võivad
ohustada väärtpaberituru korra- või õiguspärast toimimist. Sama lõike teises lauses on
sätestatud, et investeerimisühing järgib selliste meetmete rakendamisel muu hulgas komisjoni
delegeeritud määruses (EL) nr 2017/589 sätestatut. Muudatusega lisatakse viide lisaks DORA
määrusele.
VpTS § 8215 lõike 5 sõnastuses on täpsustatud, et talitluspidevuse kord sisaldab muu hulgas
info- ja kommunikatsioonitehnoloogia talitluspidevuse põhimõtteid ja plaane, aga ka info- ja
kommunikatsioonitehnoloogia reageerimis- ja taasteplaane. Lõike teise lausesse on lisatud
viide DORA määruse peatükkidele 2 ja 4, mis reguleerivad info- ja
kommunikatsioonitehnoloogia riskide juhtimist, sealhulgas nõudeid info- ja
kommunikatsioonitehnoloogiale, protokollidele ja vahenditele, ning digitaalse tegevuskerksuse
testimist.
Tõhusaid talitluspidevuse ja taasteplaane on vaja selleks, et investeerimisühing saaks kohe ja
kiiresti lahendada IKT intsidendid, eelkõige tulla toime küberrünnetega, piirates kahju ja seades
prioriteediks tegevuse jätkamise ja taastemeetmed kooskõlas oma varunduspõhimõtetega.
Sealjuures ei tohiks selline tegevuse jätkamine kuidagi seada ohtu võrgu- ja infosüsteemide
terviklust ja turvalisust või andmete kättesaadavust, autentsust, terviklust ja konfidentsiaalsust.
Investeerimisühing testib kõiki funktsioone toetavate IKT-süsteemide IKT talitluspidevuse
plaane ning IKT reageerimis- ja taasteplaane vähemalt kord aastas ja kriitilise tähtsusega või
olulisi funktsioone toetavate IKT-süsteemide oluliste muudatuste korral. Sealjuures lisatakse
testimisplaanidesse stsenaariumid, mis käsitlevad küberründeid ja esmase IKT-taristu ja
varuvõimsuse vahelist ümberlülitust, varundamist ja varurajatisi.
VpTS uus § 8218. DORA määruse artikli 19 lõike 1 kohaselt peab finantsasutus teavitama
pädevat asutust tõsistest IKT-ga seotud intsidentidest. Lisaks annab määrus liikmesriigile
võimaluse ette näha, et mõned või kõik finantssektori ettevõtjad esitavad pädevale asutusele
või küberturbe intsidentide lahendamise üksustele, mis on määratud või loodud direktiivi (EL)
2022/2555 kohaselt, ka esialgse teate ja kõik raportid, kasutades DORA määruse artiklis 20
osutatud vorme. Lõikega 1 nähakse ette, et investeerimisühing teavitab lisaks FI-le ka RIA-t.
Teavitused ja raportid intsidentide kohta tuleb esitada DORA määruse alamaktides kehtestatud
vorme kasutades, lähtudes Finantsinspektsiooni kehtestatud andmevahetusvormingust ja teabe
edastusviisist (vt tehniliste standardite eelnõu konsultatsioonidokumenti intsidentidest
54
teavitamise kohta).51 Nagu käesoleva seletuskirja punkti 2.3.2 alampunktis A kirjeldatud,
kasutab finantsasutus nii FI kui ka RIA teavitamisel ühekordset teabeedastamise viisi ehk selle
kehtestamisel tuleks Finantsinspektsioonil ka selle asjaoluga arvestada.
Intsidentide liigitamise kriteeriumid on ette nähtud DORA määruse artikli 18 lõikes 1, kuid
täpsemad kriteeriumid tõsiste intsidentide määratlemiseks töötavad välja ESA-d koostöös EKP
ja ENISA-ga.
Lisaks sätestab DORA määruse artikli 19 lõige 2, et finantsasutused võivad vabatahtlikult
teatada asjaomasele pädevale asutusele olulistest küberohtudest, kui nad peavad ohtu
finantssüsteemi, teenusekasutajate või klientide jaoks oluliseks, sealjuures võivad liikmesriigid
otsustada, et need finantsasutused, kes teatavad vabatahtlikult esimese lõigu kohaselt, võivad
kõnealuse teate edastada ka direktiivi (EL) 2022/2555 kohaselt määratud või loodud küberturbe
intsidentide lahendamise üksustele (lõige 3).
VpTS § 114 muutmine. Muudatuse kohaselt ei ole investeerimisühingu piiriülene
ümberkujundamine lubatud. Muudatuse eesmärk on tagada Eesti investorite parem kaitse.
Arvestades finantssektori erisusi, ei ole praktikas finantsasutuse ümberkujundamine võrreldav
nn tavalise äriühingu ümberkujundamise protsessiga. Direktiivi (EL) 2019/2121
põhjenduspunkti 57 kohaselt ei tohiks viidatud direktiiv mõjutada liidu õiguse kohaldamist, mis
reguleerib krediidivahendusettevõtjaid ja teisi finantsettevõtjaid, ega vastavalt kõnealusele liidu
õigusele kehtestatud liikmesriigi õigusnormide kohaldamist. Investeerimisühingute tegevust
reguleeriva direktiivi 2014/65/EL põhjenduspunktis 3 on osutatud, et finantsturgudel on
tegutsema asunud rohkem investoreid ja neile pakutakse veelgi keerukamat ulatuslikku teenuste
ja instrumentide valikut, mistõttu peaks liidu õigusraamistik hõlmama kogu investoritele
suunatud tegevust. Selleks on vaja näha ette ühtlustamise tase, mida on vaja investoritele
kõrgetasemelise kaitse pakkumiseks ja selleks, et võimaldada investeerimisühingutel osutada
päritoluriigi järelevalve all teenuseid kogu liidus, mis on siseturg. Selle tagamise üheks
meetmeks on direktiivis ette nähtud investeerimisühingu tegevusloa nõue.
Arvestades, et finantssektoris teenuse osutamiseks peab isikul olema tegevusluba, mille ta saab
asukoha finantsjärelevalve asutuselt, ei ole viidatud direktiiviga 2014/65/EL kooskõlas olukord,
kus investeerimisühingu tegevus viiakse teise lepinguriiki, kus investeerimisühingul puudub
vastava lepinguriigi finantsjärelevalve asutuse luba selles riigis teenuse osutamiseks. Samas ei
ole tal võimalik tegevusluba taotleda, kui ta on samal ajal (veel) Eesti registrisse kuuluv
äriühing. Kuigi direktiiv (EL) 2019/2121 näeb ette meetmed võlausaldajate kaitseks, ei ole
direktiiviga tagatud piisav investorkaitset juhuks, kui äriühing selles teises liikmesriigis
tegevuse jätkamiseks tegevusluba ei saa (teise riiki liikumine ei tähenda automaatselt liidu
õigusest tuleneva tegutsemisõiguse üleminekut). Samuti ei ole reguleeritud, mis saab
kliendiportfellidest perioodil, kui ühing alles taotleb uues liikmesriigis tegevusluba teenuse
osutamise jätkamiseks. ÄS § 4918 reguleerib võlausaldajate kaitset, kuid tagatise saamise õigus
on vaid võlausaldajal, kelle nõuded on tekkinud enne piiriülese ümberkujundamise projekti
avalikustamist, ja nõuete osas, mis ei ole muutunud avalikustamise kuupäevaks sissenõutavaks.
VpTS § 11917 uus lõige 3. Kuna DORA määruse kohaldamisalasse kuuluvad mh
aruandlusteenuse osutajad, on liikmesriigi valikukoha (artikli 19 lõiked 1 ja 2) rakendamiseks
vajalik ka nende puhul täpsustada, et intsidentidest ja küberohtudest tuleks teavitada ka RIA-t.
Aruandlusteenuse osutajatele kohaldatakse investeerimisühingu kohta sätestatut.
51https://www.eiopa.europa.eu/system/files/2023-12/JC%202023%2070%20-
%20%20CP%20on%20draft%20RTS%20and%20ITS%20on%20major%20incident%20reporting%20under%20DORA.pdf
55
VpTS § 121 lõikes 3 tehakse terminoloogiline muudatus, asendades sõna „infotehnoloogiliste“
terminiga „info- ja kommunikatsioonitehnoloogiliste“.
VpTS § 1246 lõigete 1 ja 3 muutmine. Paragrahv 1246 reguleerib, millised organisatsioonilised
nõuded kohalduvad reguleeritud turu korraldajale. Kui lõikes 1 on sätestatud, et korraldaja
kehtestab õiguslikud, tehnilised ja organisatsioonilised meetmed ja rakendab neid, et tuvastada
ja maandada turu õigus- ja korrapärase toimimise riskid, siis muudatusega lisatakse loetelusse
ka info- ja kommunikatsioonitehnoloogia riskid, mille juhtimisel järgitakse DORA määruse
teises peatükis sätestatut.
VpTS § 1246 lõike 3 muutmine. DORA direktiiv näeb ette, et direktiivi 2014/65/EL artikli 47
lõike 1 punkt c kustutakse, kuna vastav säte on juba kaetud DORA määrusega. VpTS-is on
vastav säte § 1246 lõikes 3. Kuna samas sättes on defineeritud kauplemissüsteem, on eelnõus
otsustatud seda sätet mitte kustutada, vaid lisada sinna viide DORA määrusele.
VpTS § 1246 uus lõige 9. NIS2 direktiivi subjektide hulka kuuluvad mh Euroopa Parlamendi
ja nõukogu direktiivi 2014/65/EL artikli 4 punktis 24 määratletud kauplemiskohtade
korraldajad ning Euroopa Parlamendi ja nõukogu määruse (EL) nr 648/2012 artikli 2 punktis 1
määratletud kesksed vastaspooled (vt NIS2 direktiivi lisa I punkti 4). Kuna DORA määruse on
NIS2 direktiivi suhtes lex specialis ehk NIS2 direktiivi sätete asemel tuleks kohaldada
samaväärseid DORA määruse sätteid, on selguse huvides välja toodud, et korraldaja suhtes ei
kohaldata KüTS 2. peatükis sätestatud küberturvalisuse nõudeid.
VpTS § 1251 lõike 2 muudatus näeb ette, et korraldaja kehtestab teenuse osutamise jätkuvuse
tagamiseks muu hulgas info- ja kommunikatsioonitehnoloogia talitluspidevuse põhimõtted ja
plaani ning info- ja kommunikatsioonitehnoloogia reageerimis- ja taasteplaanid.
VpTS § 1252 lõike 1 muutmine. Paragrahv reguleerib organisatsioonilisi lisanõudeid
elektroonilisel kauplemisel. Muudetava lõike esimeses lauses asendatakse termin
„infotehnoloogilistest süsteemidest“ terminiga „info- ja kommunikatsioonitehnoloogilistest
süsteemidest“. Lõike teise lausesse lisatakse viide DORA määruse peatükkidele II ja IV ehk
korraldaja nõuab turul osalejalt algoritmide asjakohast testimist ja selleks vajaliku keskkonna
loomist vastavalt DORA määruses sätestatule.
VpTS uus § 1253. DORA määruse artikli 19 lõike 1 kohaselt peab finantsasutus teavitama
pädevat asutust tõsistest IKT-ga seotud intsidentidest. Lisaks annab määrus liikmesriigile
võimaluse ette näha, et mõned või kõik finantssektori ettevõtjad esitavad pädevale asutusele
või küberturbe intsidentide lahendamise üksustele, mis on määratud või loodud direktiivi (EL)
2022/2555 kohaselt, ka esialgse teate ja kõik raportid, kasutades DORA määruse artiklis 20
osutatud vorme (lõiked 1 ja 2). Lõikega 1 nähakse ette, et korraldaja teavitab lisaks FI-le ka
RIA-t. Teavitused ja raportid intsidentide kohta tuleb esitada DORA määruse alamaktides
kehtestatud vorme kasutades, lähtudes Finantsinspektsiooni kehtestatud
andmevahetusvormingust ja teabe edastusviisist (vt tehniliste standardite eelnõu
konsultatsioonidokumenti intsidentidest teavitamise kohta).52 Nagu käesoleva seletuskirja
punkti 2.3.2 alampunktis A kirjeldatud, kasutab finantsasutus nii FI kui ka RIA teavitamisel
ühekordset teabeedastamise viisi ehk selle kehtestamisel tuleks Finantsinspektsioonil ka selle
asjaoluga arvestada.
52https://www.eiopa.europa.eu/system/files/2023-12/JC%202023%2070%20-
%20%20CP%20on%20draft%20RTS%20and%20ITS%20on%20major%20incident%20reporting%20under%20DORA.pdf
56
Intsidentide liigitamise kriteeriumid on ette nähtud DORA määruse artikli 18 lõikes 1, kuid
täpsemad kriteeriumid tõsiste intsidentide määratlemiseks töötavad välja ESA-d koostöös EKP
ja ENISA-ga.
Lisaks sätestab DORA määruse artikli 19 lõige 2, et finantsasutused võivad vabatahtlikult
teatada asjaomasele pädevale asutusele olulistest küberohtudest, kui nad peavad ohtu
finantssüsteemi, teenusekasutajate või klientide jaoks oluliseks, sealjuures võivad liikmesriigid
otsustada, et need finantsasutused, kes teatavad vabatahtlikult esimese lõigu kohaselt, võivad
kõnealuse teate edastada ka direktiivi (EL) 2022/2555 kohaselt määratud või loodud küberturbe
intsidentide lahendamise üksustele (lõige 3).
VpTS § 1631 lõike 7 muutmine. Sättesse lisatakse viide uuele VpTS §-le 1253. Lõige
reguleerib, milliseid turu korraldaja suhtes kohalduvaid sätteid kohaldatakse mitmepoolse
kauplemissüsteemi ja organiseeritud kauplemissüsteemi korraldajale.
VpTS § 230 lõike 1 täiendamine uue punktiga. Paragrahv reguleerib FI õigusi ja ülesanded,
sealjuures on lõikes 1 loetelu EL õigusaktidest, milles sätestatu täitmise üle FI järelevalvet
teostab. Sellesse loetelusse lisatakse viide ka DORA määrusele ehk FI teostab järelevalvet muu
hulgas DORA määruses sätestatu üle.
VpTS § 230 uus lõige 7. Kuna § 230 lõike 1 teine lause viitab rikkumise korral ainult VpTS ja
FIS meetmete rakendamisele, täpsustatakse lõike 7 esimeses lauses, et FI-l on mh õigus
rakendada DORA määruses sätestatud meetmeid.
FI peab avalikustama DORA määruse rikkumise korral võetud meetmete alusel tehtud otsuse
kohta teate oma veebilehel nagu on sätestatud artiklis 54.
Et võetud meetmetel oleks hoiatav mõju laiemale avalikkusele, näeb määrus ette rikkumist
puudutavate otsuste avalikustamise. DORA määruse artikli 54 lõike 1 kohaselt avaldavad
pädevad asutused oma ametlikel veebisaitidel põhjendamatu viivituseta kõik halduskaristuse
määramise otsused, mida ei ole edasi kaevatud pärast seda, kui karistuse saanud isikut on
otsusest teavitatud. Lõige 5 näeb samas ette, et kui pädev asutus avaldab halduskaristuse
määramise otsuse, mis on asjaomastele kohtuasutustele edasi kaevatud, lisavad pädevad
asutused ühtlasi viivitamata oma ametlikule veebisaidile selle teabe ja hiljem kogu täiendava
teabe sellise edasikaebamise tulemuste kohta. Samuti avaldatakse kohtuotsus, millega
tühistatakse halduskaristuse määramise otsus.
Avaldada tuleb teave rikkumise liigi ja laadi kohta, vastutavad isikud ning määratud karistused.
Erandiks on olukorrad, kus juriidilise isiku nime või füüsilise isiku nime ja isikuandmete
avaldamine oleksid ebaproportsionaalsed või nende andmete avaldamine ohustaks
finantsturgude stabiilsust või pooleli olevat uurimist (eelkõige mõeldud järelevalve- ja
väärteomenetlust, kuid võib hõlmata ka kriminaalmenetlust tegevusloata tegutsemise puhul)
või põhjustaks asjaomasele isikule ebaproportsionaalselt suurt kahju. Sellisel puhul võib
avaldamise edasi lükata, jätta isikuid puudutav teave avaldamata või loobuda sellise kaasuse
kohta teabe avaldamisest üldse.
Kuigi DORA määruse artikkel 54 viitab vaid halduskaristuste avalikustamisele, on direktiivi
2014/65/EL artiklis 71 sätestatud, et liikmesriigid tagavad, et pädevad asutused avaldavad oma
ametlikul veebisaidil kõik otsused halduskaristuste või muude meetmete kohta, mis on
mõistetud või võetud määruse (EL) nr 600/2014 või käesoleva direktiivi (2014/65/EL)
rakendamiseks vastu võetud siseriiklike sätete rikkumise eest. VpTS § 230 lõike 41 kohaselt
avalikustab FI oma veebilehel seaduse 3., 31. ja 4. osas sätestatud kohustuse rikkumisega seoses
57
tehtud väärteoasja lahendi või haldusakti viivitamata pärast selle teatavaks tegemist ehk vastav
säte anna aluse ka muude meetmete (nt ettekirjutus) avalikustamiseks, kui rikutakse DORA
nõudeid.
VpTS uus § 23790. Seadust täiendatakse uue karistusnormiga, mida FI saab kohaldada DORA
määruses sätestatud nõuete rikkumise korral. Nimelt on DORA määruse artikli 50 lõikes 3
sätestatud, et liikmesriigid kehtestavad õigusnormid, milles sätestatakse asjakohased
halduskaristused ja parandusmeetmed määruse rikkumise puhuks, ning tagavad nende
tulemusliku rakendamise. Sama artikli lõike 4 punktis c on sätestatud, et liikmesriigid annavad
pädevatele asutustele õiguse võtta mis tahes liiki meetmeid, sealhulgas rahalisi meetmeid,
tagamaks, et finantssektori ettevõtjad jätkavad õigusnormide järgimist. Eelnõuga nähakse ette,
et füüsilise isiku korral on võimalik karistada rahatrahviga kuni 5 000 000 eurot või kuni
kahekordse väärteo tulemusel teenitud kasule või ära hoitud kahjule vastavas summas ning
juriidilise isiku korral karistatakse rahatrahviga kuni 5 000 000 eurot või kuni kahekordse
väärteo tulemusel teenitud kasule või ära hoitud kahjule vastavas summas või kuni kümme
protsenti juriidilise isiku või tema konsolideerimisgrupi konsolideeritud käibest.
Uue paragrahvi sätestamisel on lähtutud VpTS-is sätestatud kehtivatest karistusmääradest ja
karistuste määramise alustest. Finantssektori karistusnormid on suures osas reguleeritud liidu
õiguses, kus reeglina on ette nähtud analoogsed meetmed karistuste rakendamiseks (sh
fikseeritud rahaliste suuruste piirmäärad). Kuna DORA määruse nõuded integreeritakse DORA
direktiiviga vastavatesse finantssektori õigusaktidesse (investeerimisühingute ja korraldajate
puhul direktiivi 2014/65/EL), on ka eelnõu puhul võetud lähenemine, et DORA nõuete
rikkumise eest ette nähtud karistused oleksid kooskõlas vastavates liidu õigusaktides ette
nähtud karistussätetega. VpTS uue paragrahvi puhul on võetud aluseks direktiivi 2014/65/EL
artikli 70 lõike 3 punkti a alapunktid iv, v, xxvii ja xxviii ning lõike 6 punktid f–g. DORA
direktiivi kohaselt muudetakse 2014/65/EL direktiivi artikleid 16 ja 17 ning 47 ja 48 nii, et
sinna lisatakse viited DORA nõuete rakendamisele. Kuna direktiivi 2014/65/EL artikli 70 lõike
3 punkti a alapunktid viitavad nende artiklite rikkumistele, hõlmab see ühtlasi DORA nõuete
rikkumist.
Uue paragrahvi lõike 1 sõnastuses on viidatud järgmistele DORA määruse nõuete rikkumistele:
- art 5–14: IKT- riski juhtimine;
- art 16–18, art 19 lõiked 1, 3–5: IKT intsidentide haldamine ja liigitamine ning nendest
teavitamine;
- art 24, 25, art 27 lõiked 1–8: digitaalse tegevuskerksuse testimine;
- art 28 lõiked 1–8, art 29, art 30 lõiked 1–4: kolmandast isikust tuleneva IKT-riski juhtimine;
- art 42 lg 3: kolmanda isikuga seotud riskide arvesse võtmine.
VpTS § 23789 ja § 2622 kehtetuks tunnistamine ning uus § 2623. Muudatus on normitehniline,
menetluse paragrahvi asukoht muutub. Samuti tõstetakse menetluse paragrahvi väärtegude
aegustähtaeg, mistõttu tunnistatakse § 2622 kehtetuks. Väärtegude nn üldine aegumise tähtaeg
on kaks aastat. KarS § 81 lõige 3 võimaldab väärtegude kaheaastase aegumistähtaja asemel ette
näha ka viieaastase aegumistähtaja. Finantsinspektsioon on korduvalt tähelepanu juhtinud, et
üldine aegumise tähtaeg ei ole finantsvaldkonnas toimepandud väärtegude keerukuse tõttu
menetluse läbiviimiseks piisav.
Finantssektori väärtegude kolmeaastased aegumistähtajad nähti ette finantsvaldkonna
väärteokaristuste reformi raames. Paralleelselt menetleti JuMi vastutusvaldkonda kuuluvat
karistusseadustiku muutmise ja sellega seonduvalt teiste seaduste muutmise seadust (Euroopa
Liidu õigusest tulenevad rahatrahvid), mille seletuskirjas on selgitatud, et
„väljatöötamiskavatsuse kooskõlastamisel avaldati arvamust, et kõrgema rahatrahvi
58
ülemmääraga karistatavate väärtegude korral tuleks sätestada senisest pikem aegumistähtaeg.
Eelnõu koostamisel leiti algselt, et kuna kehtiv õigus võimaldab teatud väärtegude korral
sätestada kaheaastase aegumistähtaja asemel kolmeaastase aegumistähtaja (KarS § 81 lg 3) ning
suurema ebaõigussisuga teise astme kuritegu aegub viie aastaga (KarS § 81 lg 1 p 2), ei ole
praegu erisuse loomine vajalik. Sellegipoolest leiti ka eelnõu kooskõlastamisel esitatud
arvamustes jätkuvalt, et väärtegude üldine aegumistähtaeg ei võimalda finants- ja andmekaitse
valdkonnas väärteomenetlusi tõhusalt läbi viia, arvestades nendes valdkondades toime
pandavate väärtegude keerukust“. Teise lugemise seletuskirjas on lisaks, et „esimese lugemise
läbinud eelnõus ei nähtud ette väärtegude aegumistähtaja pikendamist, vaid sätestati täiendavad
aegumise katkemise alused. Arvestades siiski teatud valdkondade eripära, võib senisest
suuremate trahvide korral olla põhjendatud ka pikemate aegumistähtaegade sätestamine. Nii
näiteks on EL määruse (EU) 468/2014 artikli 130 kohaselt Euroopa Keskpanga poolt
kohaldatavate trahvide korral aegumistähtajaks 5 aastat. Kui krediidiasutus ei allu Euroopa
Keskpanga järelevalvele, oleks Eestis sama rikkumise korral aegumistähtaeg põhjendamatult
lühem. Kehtiv KarS § 81 lg 3 näeb ette, et üldreeglina on väärteo aegumistähtaeg 2 aastat ning
seaduses sätestatud juhtudel võib ette näha kolmeaastase aegumistähtaja. Ettepaneku kohaselt
jääks KarS § 81 lg 3 üldreegliks 2 aastat, kuid seaduses võib ette näha ka kuni 5-aastase
aegumistähtaja (so kolme-, nelja- või viieaastase aegumistähtaja). Arvestades siiski, et 5-
aastane aegumistähtaeg on ka teise astme kuriteo aegumistähtajaks, peaks nii pikk
aegumistähtaeg väärtegude korral olema siiski erandlik.“.
Finantsvaldkonnas võib olla tegemist väga keeruliste kaasustega, mis on tavaliselt nn
peitsüüteod (nagu näiteks ka maksustamise valdkonna süüteod), s.t. rikkumise toimepanemise
asjaolud ei ole kergelt märgatavad, kannatanut ei ole või tema isik ei ole teada ja süüteo
toimepannud isik teeb kõik endast oleneva, et järelevalveasutus ei avastaks rikkumist.
Seaduse normitehniline märkuse. Muudatusega lisatakse viide DORA direktiivile.
Eelnõu § 11. Seaduse jõustumine.
DORA nõuete rakendamiseks vajalikud seadusemuudatused jõustuvad 17. jaanuaril 2025.
Kindlustussummade muutmise määruse muudatused jõustuvad 2024. aasta 9. oktoobril. Vastav
jõustumiskuupäev on ette nähtud kindlustussummade muutmise määrus artiklis 2. Ülejäänud
muudatused jõustuvad tavakorras.
4. Terminoloogia
Eelnõuga võetakse kasutusele järgmised uued terminid:
- digitaalne tegevuskerksus (DORA määruse artikli 3 punkt 1) – finantssektori ettevõtja
suutlikkus luua, tagada ja vaadata läbi oma tegevuse terviklikkust ja usaldusväärsust,
tagades kas otseselt või kaudselt kolmandast isikust IKT-teenuste osutajate pakutavate
teenuste kasutamise kaudu kogu IKTga seotud suutlikkuse, mida on vaja selliste võrgu- ja
infosüsteemide turvalisuse käsitlemiseks, mida finantssektori ettevõtja kasutab ning mis
toetavad finantsteenuste jätkuvat osutamist ja nende kvaliteeti, sealhulgas katkestuste
vältel;
- võrgu- ja infosüsteemid (DORA määruse artikli 3 punkt 2) – NIS2 direktiivi artikli 6 punktis
1 määratletud võrgu- ja infosüsteem. NIS2 direktiiv omakorda määratleb, et võrgu- ja
infosüsteem on (a) direktiivi (EL) 2018/1972 artikli 2 punktis 1 määratletud elektroonilise
side võrk; (b) seade või omavahel ühendatud või seotud seadmete rühm, millest vähemalt
ühes toimub mõne programmi kohaselt digiandmete automaatne töötlemine, või (c)
digiandmed, mida salvestatakse, töödeldakse, saadakse päringutega või edastatakse
59
punktidega a ja b hõlmatud komponente kasutades nende töö, kasutamise, kaitsmise või
hooldamise jaoks;
- tõsine IKT-ga seotud intsident – IKT-ga seotud intsident, millel on suur negatiivne mõju
võrgu- ja infosüsteemidele, mis toetavad finantssektori ettevõtja kriitilise tähtsusega või
olulisi funktsioone;
- oluline kübeoht – küberoht, mille tehnilised tunnused näitavad, et selle tulemuseks võib olla
IKTga seotud oluline intsident või tegevust või turvalisust mõjutav maksetega seotud
oluline intsident;
- IKT-teenus – digi- ja andmeteenus, mida osutatakse pidevalt IKT-süsteemide kaudu ühele
või mitmele sise- või väliskasutajale, sealhulgas riistvara teenusena ja riistvarateenused, mis
hõlmab tehnilise toe pakkumist riistvara pakkuja tarkvara- või püsivarauuenduste kaudu,
välja arvatud tavapärased analoogtelefoniteenused;
5. Eelnõu vastavus Euroopa Liidu õigusele
Eelnõu on kooskõlas Euroopa Liidu õigusega (vt seletuskirja lisas 1 esitatud tabelit DORA
direktiivi ja DORA määruse vastavuse kohta).
6. Seaduse mõjud
6.1. Mõju finantsasutustele
Sihtrühma suurus. FI tegevusloa ja registreeringu alusel tegutsevad finantsasutused (vt
seletuskirja punkti 2.4).
Mõju majandusele
Mõju ulatus ja
avaldumise
sagedus
DORA määrus näeb ette finantsasutusele üsna detailsed digitaalse
tegevuskerksuse tagamise reeglid. Operatsiooniliste riskide, sealhulgas
IKT riskide juhtimise nõuded, sealhulgas nõuded küberturvalisuse
tagamiseks, ei ole finantssektori jaoks midagi uut. Osaliselt on määrusega
kehtestatavad nõuded juba kaetud erinevate standardite, seaduste ja
suunistega: ISO/IEC 27000 standardipere standardid, küberturvalisuse
seadus, hädaolukorra seadus ja FI juhendid (nt nõuded finantsjärelevalve
subjekti infotehnoloogia ja infoturbe korraldusele), EBA suunis pankade
IKT ja turvariskide juhtimiseks, EIOPA suunis pilveteenuseosutajatele
tegevuse edasiandmise kohta ja SSM järelevalve). Lisaks on
eurosüsteemis välja töötatud Cyber Resilience Oversight Expectations.
Seega kõik DORA nõuded ei ole ettevõtjate jaoks täiesti uued, kuid DORA
eesmärk on ühtlustada ja spetsifitseerida IKT-riskidega seotud seniseid
nõuded, mistõttu sõltub kaasnev mõju mh sellest, mis ulatuses ja tasemel
on ettevõtjad seni tegelenud IKT-riskide juhtimise ja küberturvalisuse
tagamisega ehk milline on nende hetkeseis DORA nõuetele vastamisel ja
millised puudused tuleb nõuetele vastavuse tagamiseks kõrvaldada. See
on tase on ettevõtjatel erinev, sõltudes ka vastavast finantssektorist.
Kuigi suuremad ja keerukamad finantsasutused juba omavad keerulisi
IKT-süsteeme ja protseduure, tähendab ka nende läbivaatamine ja DORA
nõuetega kooskõlla viimine halduskoormuse tõusu.
Võib väita, et digitaalse tegevuskerksuse nõuete rakendamiseks peavad
finantsasutused teatud ümberkorraldusi tegema (nt juhtimisstruktuuri
tõhustamine), mis eeldab täiendavate rahaliste vahendite kaasamist.
Samas sõltub see taas finantsasutusest ja tema tegevusprofiilist, kas
60
juhtimiskorralduses on vaja teha muudatusi seoses uute isikute tööle
värbamisega. Lisaks on määrusega ette nähtud IKT-turbe teadlikkuse
suurendamise programmid ja digitaalse tegevuskerksuse koolitused,
edendamaks ettevõtja igal tasandil kõigi töötajate suurt teadlikkust
küberriskidest ja pühendumust tagada kõigil tasanditel range
küberhügieen. Viidatud programmid ja koolitused tähendavad jällegi
kulusid ettevõtjale. Kuna küberturvalisuse tagamine on ettevõtjasisene
pidev protsess, siis on ka sellega kaasnevad kulud pidevad. Samas on
DORA üheks oluliseks põhimõtteks, et finantsasutused peaksid IKT-riski
juhtimise raamistiku rakendamiseks ressursside ja suutlikkuse jaotamisel
võtma oma IKT-ga seotud vajaduste puhul igakülgselt arvesse oma
suurust ja üldist riskiprofiili ning oma teenuste, tegevuse ja toimingute
laadi, ulatust ja keerukust. Seega ka kulud peaks olema proportsioonis
asutuse suuruse ja tegevuse laadiga.
Üldine vastutus IKT riskijuhtimise raamistiku ja muude DORA
kehtestatud juhtimiskohustuste eest lasub finantsasutuse juhtkonnal, kes
vastutab raamistiku ülevaatamise, heakskiitmise, rakendamise ja
ajakohastamise eest.
Ainuüksi esmase küberhügieeni järgimine aitab minimeerida
finantsasutuse äriprotsesside katkestuste mõju ning hoida ära majandusele
suurte kulude tekkimist.
Finantsinspektsiooni 2022. aasta aastaraamatus53 on välja toodud, et 2022.
aastal teavitasid pangad ja makseasutused Finantsinspektsiooni olulisest
IT-intsidendist kokku 65 korral, küberrünnakute põhjustatud juhtumeid oli
üheksa. Sõltumata rünnete sagenemisest ei õnnestunud nendega
märkimisväärseid kahjusid pankadele tekitada ega segadust põhjustada.
Pangad olid rünnakute tõrjumiseks hästi valmistunud.
Digitaalse tegevuskerksuse baastestimise nõuded kohalduvad kõikidele
finantsasutustele, mistõttu ettevõtjad, kellele varasemalt ei ole analoogsed
nõuded kohaldunud või neid pole sisekorrareeglites ette nähtud, peavad
oma süsteemid ja protsessid viima vastavusse mh testimise nõuetega.
Kõrgemad testimise nõuded (süvastestimine) kohalduvad olulistele ja
kübervõimekatele teenuseosutajatele (näiteks suured, süsteemselt olulised
ja IKT seisukohast küpsed krediidiasutused, börsid, väärtpaberite
keskdepositooriumid ja kesksed vastaspooled). Seega võib väita, et
süvatestide tegemisega kaasnev halduskoormuse tõus ja rahaliste kulude
suurenemine mõjutab siiski väikest, aga olulist osa finantssektorist. Kuna
testimist tuleb läbi viia iga kolme aasta tagant, avaldub viidatud mõju
suures osas iga kolme aasta tagant (samas võib pädev asutus nõuda
põhjendatud juhul ka sagedamast testimist ning sellisel juhul avaldub
mõju sagedamini).
Kuna ohuteabel põhineval läbistustestimisel tuleb üldjuhul kasutada
välistestijaid/Red Team’i (sisetestijad on lubatud teatud tingimustel ja vaid
pädeva asutuse nõusolekul), siis see tähendab ettevõtja jaoks samuti
53https://www.fi.ee/sites/default/files/2023-04/Finantsinspektsiooni%20aastaraamat%202022_0.pdf
61
märkimisväärseid kulusid. Kulud võivad varieeruda sõltuvalt ettevõtja
suurusest, tegevusvaldkonnast, turvameetmete tasemest, keerukusest,
testimise ulatusest jne, jäädes keskmiselt 40 000 euro kanti. Sisemiste
testijate kasutamisel ei ole kulud eelduslikult nii suured, kuid ettevõtja
peab tagama sisemisete testijate koolitamise. Kuigi kulud võivad olla
märkimisväärsed, on see oluline investeering ettevõtte turvalisuse
tagamiseks ja võimalike kahjude, sealhulgas mainekahju, ennetamiseks.
Andmelekked võivad ettevõtjale maksma minna miljoneid eurosid.
Kõikidele finantsasutustele kohalduvad ka IKT-teenuse edasiandmise
nõuded. Kuivõrd finantssektoris kehtivad õigusaktid ja suunised hõlmavad
samuti nõudeid teenuste edasiandmisele (sealjuures ESA-de suunised),
siis peavad finantsasutused juba käesoleval hetkel järgima EL õigusest
tulenevaid nõudeid teenuste edasiandmisele. Samas võib DORA määruse
kohaldamine tähendada, et senised IKT teenuseosutajad ei sobi enam
teenuseosutajaks (näiteks võib finantsasutus sõlmida lepingu IKT
teenuseosutajaga, kes vastab asjakohastele infoturbestandarditele) ja
finantsasutus peab leidma partneri, kellega seotud kulud võivad olla
suuremad kui seni oli arvestatud.
Vabatahtlik teabevahetus küberohtudest teiste finantsasutustega võib
tähendada küll halduskoormuse tõusu, kuid kogemuste vastastikune
jagamine võib ära hoida uusi intsidente ja kulusid ettevõttele. Kuna
tegemist on vabatahtlikkusel põhineva sättega, siis ei saa sellega seotud
mõju pidada ka oluliseks.
Digitaalse tegevuskerksuse nõuete järgmine on pidev. Suurem mõju
avaldub IKT-riskide juhtimise raamistiku väljatöötamisel, digitaalse
tegevuskerksuse testimisel, eriti süvatestimisel, ning oluliste IKT-ga
seotud intsidentide haldamisel.
Ebasoovitavate
mõjude
avaldumise
risk
Ebasoovitavate mõjude avaldumise risk võib esineda olukorras, kui
vaatamata digitaalse tegevuskerksuse nõuete järgimisele ei õnnestu IKT-
ga seotud tõsiseid intsidente ära hoida, mis võib omakorda ettevõtjas kaasa
tuua ärikatkestusi või tõrkeid kriitiliste funktsioonide toimimisel, mis
omakorda võib tähendada ettevõttele rahalist kahju. Halvimal juhul saavad
küberrünnete toimepanijad finantsasutuse kaudu rahalist tulu, tuues
sellega ettevõtja jaoks kaasa märkimisväärsed majanduslikud tagajärjed.
Samuti võib ettevõtja reputatsioon kannatada ja ettevõtja võib jääda ilma
hetke ja potentsiaalsetest klientidest.
Seega jääb alati ülesse risk, et vaatamata küberkerksuse nõuete
rakendamisele, on küberründajad ettevõtjatest kaks sammu ees.
Lisaks võib ebasoovitav mõju avalduda juhul, kui IKT-teenuseosutaja või
temaga seotud leping ei vasta õigusaktist tulenevale nõudele, mistõttu
tuleb teenuseosutaja välja vahetada. Ka IKT teenuseosutaja
maksejõuetuks muutumine või tegevuse katkemine võib avaldada
finantsasutustele süsteemset mõju. Samas ei pruugi teatud teenuseosutajad
olla hõlpsasti asendatavad. Seetõttu ongi oluline, et kriitilisi ja olulisi
funktsioone toetavad IKT-teenuse lepingud sisalduksid ka
väljumisstrateegiaid sellise riski maandamiseks.
62
Mõju olulisus Keskmine mõju, arvestades, et finantsasutused rakenduvad juba hetkel
toimepidevuse nõudeid.
Sotsiaalne mõju
Sõltub finantsasutusest, kas asutuse juhtimiskorralduses on vaja teha
muudatusi seoses uute isikute tööle värbamisega.
Määrusega on ette nähtud IKT-turbe teadlikkuse suurendamise
programmid ja digitaalse tegevuskerksuse koolitused, edendamaks
ettevõtja igal tasandil kõigi töötajate suurt teadlikkust küberriskidest ja
pühendumust tagada kõigil tasanditel range küberhügieen.
6.2. Mõju investoritele ja finantsteenuste klientidele
Sihtrühma suurus. Sihtrühma suurust klientide arvu mõttes on käesoleval hetkel keeruline
hinnata, kuid arvestades, et ainuüksi arvelduskonto on Eestis 98%-l täisealisest elanikkonnast,
võib väita, et potentsiaalse sihtrühma suurusega on hõlmatud peaaegu kogu Eesti täisealine
elanikkond.
Majanduslik mõju
Mõju ulatus ja
avaldumise
sagedus
Kuna finantsasutused arendavad nõuetele tuginedes IKT-suutlikkust ja
üldist kerksust, et tulla toime tegevuse katkestustega, aitab see säilitada
EL finantsturgude stabiilsust ja usaldusväärsust ning seega tagada
investorite ja tarbijate kaitse kõrge taseme.
Nõuete rakendamine aitab kaitsta nii teabevara klientide kohta kui ka
klientide rahalisi vahendeid. Klientide usaldus, et nende andmed on
kaitstud, tõuseb.
Ebasoovitavate
mõjude
avalumise risk
Sõltub ilmselt finantsasutusest, kas uutele nõuetele vastavuse tagamine
eeldab niivõrd suuri ressursse, et see võiks mõjutada ka finantsteenuse
hinda (ehk teenus muutub kliendi jaoks kallimaks).
Mõju olulisus Klientide kaitse on alati olulise mõjuga, kuid klientide enda
halduskoormus seoses eelnõuga ei tõuse, samuti ei tohiks eelnõu
rakendamine mõjutada teenuse hindasid. Kokkuvõttes on mõju klintidele
positiivne, kuna DORA nõuded tagavad kõrgemad turvastandardid ning
klientide andmete ja vara parema kaitse.
Sotsiaalne mõju
Kui finantsasutus ei suuda tagada küberkerksuse kõrget taset, siis
mustema stsenaariumi kohaselt võivad küberründed olla finantsteenuste
klientidele selliste tagajärgedega, et need võivad mõjutada ka klientide
toimetulekut rahaliselt.
6.3. Mõju kriitilise tähtsusega kolmandast isikust IKT-teenuseosutajatele
Sihtrühma suurus. Sihtrühma kuuluksid IKT teenuseosutajad, kes on Euroopa mõistes suured,
osutades teenust mitmes liikmesriigis ja suurele hulgale finantsasutustele, sealjuures võetakse
nende määratlemisel arvesse pakutavate teenuste süsteemset mõju ja iseloomu ning
finantsasutuste sõltuvust nende osutatavatest teenustest. Kriitilise tähtsusega IKT
teenuseosutaja määratlemiseks kehtestatakse lisaks DORA määruse üldisematele
kriteeriumitele alamakt ning lõpliku otsuse, millised ettevõtjad on kriitilised selle määratluse
alusel ja hakkaksid kuuluma EL-ülese järelevaatamise alla, teevad ESA-d.
63
Pigem võiks eeldada, et ükski Eesti IKT teenuseosutaja sihtrühma ei kuulu.
Mõju ulatus ja
avaldumise
sagedus
ESA-d hakkavad teostama Euroopa-ülest järelevaatamist kriitilise
tähtsusega ITK teenuseosutajate üle ning sellega kaasnevaid kulusid
rahastataks täielikult kriitilise tähtsusega kolmandast isikust IKT-teenuste
osutajatele kehtestatud tasudest. Seega tähendab uus regulatsioon rahalisi
kulusid ainuüksi tasude näol.
Ebasoovitavate
mõjude
avaldumise risk
Kui teenuseosutaja ei ole teavitanud juhtivat järelevalveasutust, kas ta
järgib talle tehtud soovitust või mitte või kui teenuseosutaja selgitus ei ole
piisav selle kohta, miks ta ei järgi soovitust, siis avaldatakse sellised
juhud. Avaldatud teabes avalikustatakse sellise IKT-teenuseosutaja
identiteet ning teave nõuete täitmata jätmise liigi ja laadi kohta.
Mõju olulisus Arvestades, et ilmselt ükski Eesti ettevõtja kriitilise tähtsusega IKT
teenuseosutaja määratluse alla ei lähe, mõju puudub.
6.4. Mõju riigiasutuste ja kohaliku omavalitsuse korraldusele
Sihtrühm: FI ja RIA.
Mõju riigiasutuste ja kohaliku omavalitsuse korraldusele
Mõju ulatus ja
avaldumise
sagedus
Finantsinspektsioon
Kavandatavad muudatused mõjutavad FI järelevalvelist tegevust, kuna FI
on DORA määruse artikli 46 kohaselt pädev asutus, kes teostab
järelevalvet digitaalse tegevuskerksuse nõuete täitmise üle. Järelevalve
teostamine eeldab spetsiifilisi teadmisi IKT riskidest, süsteemidest,
vahenditest jne. Sealjuures peab FI-s olema kompetents, et hallata
teavitusi, mida finantsasutused FI-le edastavad seoses tõsiste IKT
intsidentidega. Järelevalve on pidev.
Kuigi FI valmisolek teostada DORA määruse nõuete üle järelevalvet on
juba käesoleval hetkel väga hea, on Finantsinspektsioon alustanud
kübervaldkonna erialase taseme tõstmisega ja ekspertide kaasamisega
(täiendavad töökohad ja erialased koolitused) ning vastavate kulutustega
on 2024. a eelarve koostamisel juba ka arvestanud. Finantsinspektsioon
kavandab juurde luua 12 täiendavat töökohta, kuid need seonduvad lisaks
digitaalse tegevuskerksuse nõuete järelevalvele ka inkasso valdkonna
järelevalve mehitamise ja uute ülesannetega seoses kriisilahendusega.
Finantsinspektsiooni 2022. aasta aastaraamatus on kirjas, et
„Finantsinspektsioon hindab oma järelevalvetegevuse käigus muu hulgas
pankade IT-organisatsiooni, IT-struktuuri ja haldust, talitluspidevust,
arendustöid, turvalisust ja küberriskide juhtimist tervikuna.
Finantsinspektsioon analüüsib regulaarse aruandluse põhjal kõiki olulisi
intsidente, vajadusel küsib pankadelt tegevuskavasid ning jälgib, et
rakendataks meetmeid, mis aitavad tulevikus sarnaste intsidentide
kordumist vältida. Inspektsioon koostab valdkonnaüleseid IT- ja
küberriskianalüüse, mille põhjal tuvastab suure IT-riskiga finantssektori
osad. Suurte IT-riskidega pangad peavad välja töötama tegevuskavad,
mida Finantsinspektsioon jälgib eriaruandluse korras. Lähtuvalt riskidest
analüüsib inspektsioon detailsemaid teemasid – aastal 2022 oli fookus
pankade küberriskide haldusel ja maandamisel ning IT turvatestimiste
protsessi toimimisel.“
64
Seoses EL-ülese järelevaatamisega kriitilise tähtsusega IKT
teenuseosutajate üle, peab FI kõrgetasemeline esindaja kuuluma
järelevaatamise foorumisse. Lisaks on FI esindaja kontrollrühma liige,
kui Eesti finantsasutusele osutab teenust kriitilise tähtsusega IKT-
teenuseosutaja ning selle teenuseosutaja jaoks on moodustatud juhtivat
järelevalveasutust abistav kontrollrühm. Viidatud rühmitustes osalemine
eeldab rahaliste vahendite suurendamist.
ESA-de DORA määruse rakendamiseks vajalike IKT-süsteemide
arendamist rahastatakse esialgu liidu ja riiklike pädevate asutuste
osamaksetest (hiljem kaetakse püsikulud kriitliste IKT-teenuseosutajate
enda tasudest). Kuna ESA-d alles koostavad vastavaid eelarveid, ei ole
hetkel teada, kas või kui palju see FI osamakse suurust võib mõjutada.
Riigi Infosüsteemi Amet
Koostöö FI-ga ja tehnilise nõu andmine, kui FI seda vajab, võib tähendada
halduskoormuse tõusu (mõju riigieelarvele), kuid eeldatavasti on sellisest
koostööst saadav kasu proportsioonis sellele kuluva ressurssiga.
Kuna finantsasutuste teavitused tõsiste IKT intsidentide kohta jõuavad ka
RIA-ni, aitab see suurendada ameti teadlikkust finantsasutuste
küberintsidentidest ning hõlbustada asjakohastel juhtudel viivitamatu abi
osutamist neile.
Ebasoovitavate
mõjude
avaldumise risk
Ebasoovitavate mõjude avaldumise riski ei tuvastatud.
Mõju olulisus Mõju võib pidada keskmiseks.
Seadus ei mõjuta kohalike omavalitsuste korraldust.
6.5. Muud mõjud
Regulatsioonil puudub mõju riigi julgeolekule ja välissuhetele, elu- ja looduskeskkonnale ning
regionaalarengule.
DORA määruse artikli 1 lõike 3 kohaselt ei piirata DORA määrusega liikmesriikide vastutust
seoses riigi põhifunktsioonidega avaliku julgeoleku, riigikaitse ja riikliku julgeoleku tagamisel
kooskõlas liidu õigusega.
Eelnõu koostamise käigus ei ole tehtud andmekaitse mõjuhinnangut, kuna eelnõu alusel ei
töödelda GDPR artiklist 35 tulenevaid isikuandmeid, millest võiks tekkida suur oht isikute
õigustele ja vabadustele.
6.6. Mõjude kokkuvõte
Halduskoormus finantsasutustele. Ettevõtjate halduskoormus suureneb, kuid sõltuvalt
ettevõtjast on see mõju erinev.
Halduskoormuse klientidele. Eelnõu ei mõjuta finantsteenuste klientide halduskoormust.
65
Halduskoormus avalikule sektorile. Avaliku sektori halduskoormus võib suureneda, seda
eelkõige seoses koostöö tõhustamisega FI ja RIA vahel.
7. Seaduse rakendamisega seotud riigi ja kohaliku omavalitsuse tegevused, eeldatavad
kulud ja tulud
Seaduse rakendamisega ei kaasne tulusid riigieelarvele ning eelnõu ei ole seotud kohalike
omavalitsuse üksuste tegevusega. RIA koostöö FI-ga ja tehnilise nõu andmine võib tähendada
riigieelarve kulude suurenemist.
8. Rakendusaktid
Eelnõuga ei kehtestata uusi rakendusakte. Samuti ei ole vaja muuta ja tunnistada kehtetuks
kehtivaid rakendusakte.
DORA määruse rakendumisel tuleks korrigeerida asjakohaste Finantsinspektsiooni
soovituslike juhendite kohaldamisala, et oleks üheselt selge, et need, kes DORA määruse
kohaldamisalasse ei kuulu, siis neile jääb juhend kohalduma. Juhendite koostamine ja
ajakohastamine kuulub FI pädevusse.
9. Seaduse jõustumine
Seadus jõustub osaliselt 17. jaanuaril 2025. a. Jõustumise tähtaeg on seotud DORA nõuete
rakendamise kuupäevaga, milleks on 17. jaanuar 2025. a (vt DORA määruse artikkel 64).
Komisjoni kindlustussummade muutmise määrusest tulenevad muudatused jõustuvad 2024.
aasta 9. oktoobril (kindlustussummade määruse artikkel 2). Kuna uutele kindlustussummadele
üleminekuks on ette nähtud vaid kuus kuud, on vastavad muudatused lisatud käesolevasse
eelnõusse, et asjakohased kindlustusvahendajad oleksid aegsasti teadlikud muudetud
summadest.
Muud muudatused, mis ei ole seotud DORA direktiivi ülevõtmise ja kindlustussummade
muutmisega, jõustuvad üldkorras. Muudatus õigusnormide kohaldamiseks ei ole vajalik ette
näha üleminekuperioodi, kuna muudatused on osaliselt normitehnilised.
10. Eelnõu kooskõlastamine ja huvirühmade kaasamine
Eelnõu esitati läbi eelnõude infosüsteemi EIS kooskõlastamiseks ministeeriumidele ja
Finantsinspektsioonile ning arvamuse avaldamiseks Riigikantseleile, Riigi Infosüsteemide
Ametile, Eesti Pangale, MTÜ FinanceEstonia-le, Eesti Pangaliidule, Eesti Kindlustusseltside
Liidule, Eesti Kindlustusmaaklerite Liidule, Eesti Hoiu-laenuühistute Liidule, Nasdaq Tallinna
Börsile, Nasdaq CSD SE Eesti filiaalile, Eesti Kaubandus-Tööstuskojale, Eesti Väike- ja
Keskmiste Ettevõtjate Assotsiatsioonile, Eesti Infotehnoloogia ja Telekommunikatsiooni
Liidule ja muudele finantssektori ettevõtetele.
Märkustega tagasiside saadi Justiitsministeeriumist, Majandus- ja
Kommunikatsiooniministeeriumist, Finantsinspektsioonist, Riigikantseleist, MTÜ
FinanceEstoniast, Eesti Pangaliidult, Eesti Kindlustusseltside Liidust ja Eesti Kaubandus-
Tööstuskojalt (vt märkuste tabelit lisa 2).
66
Algatab Vabariigi Valitsus
………………… 2024
(allkirjastatud digitaalselt)
Heili Tõnisson
Valitsuse nõunik
LISA 1. Euroopa Liidu direktiivi ja Eesti õigusakti vastavustabel
EL
direktiivi
(EL)
2022/2556
norm
Muudetav direktiivi
säte
EL-i õigusakti
normi ülevõtmise
kohustus
(Jah, ei,
valikuline)
EL-i õigusakti
normi sisuliseks
rakendamiseks
kehtestatavad
riigisisesed
õigusaktid
Kommentaar
Art 1 p 1 2009/65/EÜ art 12 lg 1,
teine lõik, a
Jah IFS § 344 lg 3 p 3,
§ 345 lg 11
Art 1 p 2 2009/65/EÜ art 12 lg 3
Ei
-
Ei ole vaja üle
võtta, Komisjoni
kohustus
Art 2 p 1 2009/138/EÜ art 41 lg
4
Jah KindlTS § 96 lg
71 ja 105 lg 2 p 2
Art 2 p 2 2009/138/EÜ art 50 lg
1, a ja b
Ei
-
Ei ole vaja üle
võtta, kohaldub
Komisjonile
Art 3 2011/61/EL art 18 lg 1 Jah IFS § 344 lg 3 p 3,
§ 345 lg 11
Art 3 2011/61/EL art 18 lg 2
Ei
-
Ei ole vaja üle
võtta, kohaldub
Komisjonile
Art 4 p 1 2013/36/EL art 65 lg 3,
a
Jah KAS § 99 lg 1 p
41
Art 4 p 2 2013/36/EL art 74 lg 1,
esimene lõik
Jah KAS § 824 lg 1
Art 4 p 3 2013/36/EL art 85 lg 2 Jah KAS § 824 lg 2
Art 4 p 4 2013/36/EL art 97 lg 1,
d
Jah KAS § 96 lg 5
Art 5 p 1,
a
2014/59/EL art 10 lg 7,
c
Jah FELS § 29 lg 1 p
5
Art 5 p 1,
b
2014/59/EL art 10, lg
7, q
Jah FELS § 29 lg 1 p
8
Art 5 p 1,
c 2014/59/EL art 10 lg 9
Ei - EBA kohustus
Art 5 p 2,
a
2014/59/EL lisa, A
jagu
Jah FELS § 11 lg 1 p
19
Art 5 p 2,
b 2014/59/EL lisa, B jagu
Jah FELS § 28 lg 5 p
141 ja 142
Art 5 p 3,
c 2014/59/EL lisa, C jagu
Jah FELS § 33 lg 4 p
4 ja 41
Art 6 p 1,
a 2014/65/EL art 16 lg 4
Jah VpTS § 811 lg 11
67
Art 6 p 1,
b 2014/65/EL art 16 lg 5
Jah VpTS § 826 lg 4
Art 6 p 2,
a 2014/65/EL art 17 lg 1
Jah VpTS § 8215 lg 1
ja 5
Art 6 p 2,
b
2014/65/EL art 17 lg 7,
a
Ei - ESMA kohustus
Art 6 p 3,
a
2014/65/EL art 47 lg 1,
b
Jah VpTS § 1246 lg 1
Art 6 p 3,
b
2014/65/EL art 47 lg 1,
c
Jah
VpTS § 1246 lg 3
Muudatus näeb ette
2014/65/EL art 47
lg 1 punkti c
kustutamise, kuid
Eesti õigusesse
ülevõtmisel ühtegi
sätet kehtetuks ei
tunnistata, vaid
korrigeeritakse §
1246 lg 3 sõnastust.
Art 6 p 4,
a 2014/65/EL art 48 lg 1
Jah VpTS § 1251 lg 2
Art 6 p 4,
b 2014/65/EL art 48 lg 6
Jah VpTS § 1252 lg 1
Art 6 p 4,
c
2014/65/EL art 48 lg
12, a ja g
Ei - ESMA kohustus
Art 7 p 1 (EL) 2015/2366 art 3, j Jah MERAS § 4 lg 1 p
9
Art 7 p 2,
a
(EL) 2015/2366 art 5 lg
1, esimene lõik, e, f ja h
Jah MERAS § 15 lg 1
p 9, § 50 lg 3 p 9
ja 11
Art 7 p 2,
b
(EL) 2015/2366 art 5 lg
1, kolmas lõik
Jah MERAS § 15 lg
11 p 2
Art 7 p 3 (EL) 2015/2366 art 19
lg 6, teine lõik
Jah MERAS § 62 lg 2
Art 7 p 4 (EL) 2015/2366 art 95
lg 1
Jah MERAS § 635 lg
3
Art 7 p 5 (EL) 2015/2366 art 96
lg 7
Jah MERAS § 636 lg 5
Art 7 p 6 (EL) 2015/2366 art 98
lg 5
Ei - EBA kohustus
Art 8 (EL) 2016/2341 art 21
lg 5
Jah IFS § 223 lg 2, §
344 lg 3 p 3, §
345 lg 11
Art 9 -
Ei
-
Ei ole vaja üle võtta,
direktiivi
ülevõtmise säte.
Art 10 - Ei - Jõustumissäte
Art 11 -
Ei
Ei ole vaja üle võtta,
direktiivi
adressaatide säte.
68
Määruse
(EL)
2022/2554
säte
EL-i õigusakti normi
ülevõtmise kohustus
(Jah, ei, valikuline)
EL-i õigusakti
normi sisuliseks
rakendamiseks
kehtestatavad
riigisisesed
õigusaktid
Kommentaar
Art 2 lg 4 Valikuline HLÜS § 21 Eesti valik on rakendada liikmesriigi
valikukohta. Seega art 2 lg 4 nimetatud
isikud jäävad DORA kohaldamisalast
välja.
Art 19 lg 1 Valikuline Finantssektori
seadustes eraldi
sätted
intsidentidest
teavitamis kohta
Eesti valik on, et finantsasutus teavitab
tõsisest intsidendist samaaegselt nii FI-d
kui ka NIS2 asutust ehk RIA-t.
Art 26 lg 9 Valikuline Eesti on otsustanud valikut mitte kasutada.
Art 32 lg 5 Jah FIS § 46 lg 10 Juhtiva järelevalveasutuse teavitamine, et
FI osaleb järelevalvefoorumi töös.
Art 53 Art 53 kohustab liikmesriike teavitavama
komisjoni, ESMAt, EBAt ja EIOPAt oma
õigus- ja haldusnormidest, millega
võetakse üle DORA määruse 7. peatükk,
sealhulgas asjaomastest kriminaalõiguse
sätetest hiljemalt 17. jaanuariks 2025.
Määruse
(EL)
2022/2554
7.
peatükk
Art 46 Otsekohalduv määrus FIS § 2 lg 1
Art 47 Otsekohalduv määrus FIS § 4711 lg 1–3
Art 48 Otsekohalduv määrus FIS § 6 lg 1 p 6, §
46 lg 1 ja lg 2 p
1–3
Art 49 lg 1 Ei ESA-de kohustus
Art 49 lg 2 Otsekohalduv määrus FIS § 46 lg 1 ja lg
2 p 1–3
§ 4711 lg 6
Art 50 lg 1 IFS ptk 30, KAS
ptk 9, KindlTS
ptk 12, MERAS
ptk 12, VpTS ptk
24, EVKS ptk 6
Art 50 lg
2–6, art 51
ja 54
Otsekohalduv määrus IFS § 455 lg 32, §
456 lg 1, § 458,§
460 ja § 5034,
KAS § 99, § 101,
§ 103, § 103 lg 33,
ja § 13426,
KindlTS § 224 lg
69
3, § 227, § 228, §
231 ja § 2571,
MERAS § 90 lg
2, § 95, § 97, §
100 ja 1091,
VpTS § 230 lg 7,
§ 2303, § 232, §
234 ja § 23790,
EVKS § 39, 39 lg
41, § 41, § 42 ja §
4611 + HMS+ FIS
§ 5 lg 2 + FIS §
54 lg 3, 5
Art 52 Valikukoht Eesti ei ole kasutanud seda võimalust.
Art 55 FIS § 54
Art 56 FIS § 542 lg 4
Suur-Ameerika 1 / 10122 Tallinn / 611 3558 / [email protected] / www.rahandusministeerium.ee
registrikood 70000272
Riigikantselei
Finantsinspektsiooni seaduse ja
teiste seaduste muutmise seaduse
eelnõu (DORA eelnõu)
Esitame Vabariigi Valitsuse istungile heakskiitmiseks Finantsinspektsiooni seaduse ja teiste
seaduste muutmise seaduse eelnõu koos seletuskirja ja märkuste tabeliga, mis on lisatud
käesolevale kirjale.
Lugupidamisega
(allkirjastatud digitaalselt)
Mart Võrklaev
rahandusminister
Lisad:
1. Eelnõu
2. Seletuskiri
3. Märkuste tabel (lisa 2)
Lisaadressaadid:
Meie 15.04.2024 nr 1.1-10.1/1285-2
2
Ministeeriumid
Finantsinspektsioon
Riigi Infosüsteemide Amet
Eesti Pank
FinanceEstonia MTÜ
Eesti Pangaliit MTÜ
Eesti Kindlustusseltside Liit
Eesti Kindlustusmaaklerite Liit
Eesti Hoiu-laenuühistute Liit MTÜ
Nasdaq Tallinna Börss
Nasdaq CSD SE Eesti filiaal
Eesti Kaubandus-Tööstuskoda
Eesti Väike- ja Keskmiste Ettevõtjate Assotsiatsioon MTÜ
Eesti Infotehnoloogia ja Telekommunikatsiooni Liit
Kristiina Kubja 5885 1398
Finantsinspektsiooni seaduse ning teise seaduste muutmise seadus
Seletuskiri
Lisa 2
MÄRKUSTE TABEL
Justiitsministeerium II Märkused 1–4
Justiitsministeerium I Märkused 1–3
Majandus- ja kommunikatsiooniministeerium Märkused 4–17
Riigikantselei Märkused 18 ja 19
Finantsinspektsioon Märkused 20–28
Pangaliit Märkused 29–32
FinanceEstonia Märkused 33–35
Eesti Kaubandus- Tööstuskoda Märkused 36 ja 37
Nr. Ettepaneku sisu
Arvestatu/
Mitte
arvestatud/
Selgitatud
Rahandusministeeriumi seisukoht
JUSTIITSMINISTEERIUM II kooskõlastusring
1.
JuM
Eelnõu § 4 punkti 9, § 5 punkti 14, § 7 punkti 8, § 8
punkti 22, § 9 punkti 6 ja § 10 punkti 24 kohaselt
avalikustab Finantsinspektsioon oma veebilehel
Euroopa Parlamendi ja nõukogu määruses (EL)
2022/2554 sätestatud kohustuse rikkumise eest
väärteoasjas tehtud lahendi sama määruse artiklis
54 sätestatu kohaselt. Kuivõrd viidatud artikli järgi
käsitletakse „halduskaristuste“ avaldamisena
üksnes väärteoasjas tehtud lahendeid, palume
seletuskirjas selgitada või viidata, kas ja mille alusel
avalikustatakse Finantsinspektsiooni rikkumise
kõrvaldamiseks tehtud ettekirjutused või muud
haldusaktid.
Arvestatud Seletuskirja on täiendatud.
2. Eelnõu § 7 punktiga 11 ja § 10 punktiga 28
sätestatakse aegumise erand. Kordame varem
tehtud märkust osas, milles palusime selgitada,
miks peab olema kooskõlastamiseks esitatud
eelnõus olevate väärtegude aegumistähtaeg kolm
aastat. Seletuskirja lisas „Märkuste tabel“
viidatakse vastusena märkusele, et
Justiitsministeerium on juhtinud karistusseadustiku
muutmise ja sellega seonduvalt teiste seaduste
muutmise seaduse teise lugemise seletuskirjas
tähelepanu asjaolule, et arvestades osade
valdkondade eripära, võib senisest suuremate
trahvide korral olla põhjendatud ka pikemate
aegumistähtaegade sätestamine. Selgitame, et me ei
ole pikema aegumistähtaja vastu, kuid palume
selgitada, miks on see kõnesoleval juhul vajalik.
Palume eelnõu seletuskirja vastava selgitusega
täiendada.
Arvestatud Seletuskirja on täiendatud.
3. Eelnõu § 8 punktiga 16 täiendatakse makseasutuste
ja e-raha asutuste seaduse § 52 lõikega 14, mis
reguleerib Finantsinspektsiooni õigust
ümberkujundamisloa andmisest keelduda. Viidatud
lõike punkti 3 kohaselt võib ümberkujundamisloa
andmisest keelduda mh juhul, kui
Arvestatud Seletuskirja on täiendatud.
2
ümberkujundamine võib muul põhjusel kahjustada
makseasutuse või e-raha asutuse klientide huve ning
sama lõike punkti 4 järgi siis, kui esineb muu
oluline alus ümberkujundamist mitte lubada.
Seletuskirjas (lk 42) on küll selgitatud, mis võib olla
punktis 4 nimetatud „muu oluline alus“, kuid
põhjendused punkti 3 kohase „muu põhjuse“ kohta
puuduvad. Palume lisada selgitus ja näited, mis
võivad olla „muudeks põhjusteks“, mis juhul võib
Finantsinspektsioon ümberkujundamisloa
andmisest keelduda.
4. Palume lisaks arvestada käesoleva kirja lisas
esitatud eelnõu failis jäljega tehtud märkuste ja
keelemärkustega.
JUSTIITSMINISTEERIUM I kooskõlastusring
1.
JuM
1. Eelnõu § 7 punktiga 11 ja § 9 punktiga 9
muudetakse olemasolevate sätete asukohta.
Viidatud sätete sisuks on väärteo aegumise erisus
üldisest aegumise tähtajast (mis on
karistusseadustiku § 81 lõike 3 kohaselt kaks
aastat). Justiitsministeerium ei toeta eraldi aegumise
paragrahvi sätestamist. Aegumise erand tuleb
sätestada menetluse paragrahvis. Sel juhul on see
kooskõlas teistes eriseadustes ettenähtud
regulatsiooniga, nt riigihangete seaduse § 216
lõikega 2, maksukorralduse seaduse §-ga 162.
Samuti puuduvad seletuskirjas täpsemad selgitused,
miks peab olema kooskõlastamiseks esitatud
eelnõus olevate väärtegude aegumistähtaeg kolm
aastat. Palume seletuskirja lisada vastav põhjendus.
Arvestatud/
Selgitatud
Eelnõusse on lisatud muudatused, mille kohaselt
väärtegude aegumissätted on tõstetud menetluse
paragrahvi.
Samas juhime tähelepanu, et eelnõuga ei nähta ette
ühetegi uut väärtegude aegumist reguleerivat normi ja
kõik aegumistähtajaga seotud muudatused eelnõus on
normitehnilised, st nii KAS-is, EVKS-is kui ka VpTS-
is on juba kehtiva õiguse kohaselt aegumistähtaeg
kolm aastat.
Finantssektori väärtegude aegumistähtajad nähti ette
finantsvaldkonna väärteokaristuste reformi raames
ning vastavate õigusnormide kohta on esitatud
selgitused vastava eelnõu seletuskirjas1.
Samuti on JuM juhtinud karistusseadustiku muutmise
ja sellega seonduvalt teiste seaduste muutmise
seaduse2 teise lugemise seletuskirjas juhtinud
tähelepanu asjaolule, et „Arvestades siiski teatud
valdkondade eripära, võib senisest suuremate
trahvide korral olla põhjendatud ka pikemate
aegumistähtaegade sätestamine. Nii näiteks on EL
määruse (EU) 468/2014 artikli 130 kohaselt Euroopa
Keskpanga poolt kohaldatavate trahvide korral
aegumistähtajaks 5 aastat. Kui krediidiasutus ei allu
Euroopa Keskpanga järelevalvele, oleks Eestis sama
rikkumise korral aegumistähtaeg põhjendamatult
lühem. Kehtiv KarS § 81 lg 3 näeb ette, et üldreeglina
on väärteo aegumistähtaeg 2 aastat ning seaduses
sätestatud juhtudel võib ette näha kolmeaastase
aegumistähtaja. Ettepaneku kohaselt jääks KarS § 81
lg 3 üldreegliks 2 aastat, kuid seaduses võib ette näha
ka kuni 5-aastase aegumistähtaja (so kolme-, nelja-
või viieaastase aegumistähtaja). Arvestades siiski, et
5-aastane aegumistähtaeg on ka teise astme kuriteo
aegumistähtajaks, peaks nii pikk aegumistähtaeg
väärtegude korral olema siiski erandlik.“.
Viidatud reformi raames otsustati mitte rakendada
maksimaalset (viieaastast) tähtaega, kuid tuginedes
1 https://www.riigikogu.ee/tegevus/eelnoud/eelnou/aece8f34-146c-41f6-b3fd-90402dfdd470/audiitortegevuse-seaduse-
finantskriisi-ennetamise-ja-lahendamise-seaduse-ning-teiste-seaduste-muutmise-seadus-finantsvaldkonna-vaarteokaristuste-
reform-eli-oigusest-tulenevad-karistused 2 https://www.riigikogu.ee/tegevus/eelnoud/eelnou/1bfa1944-2de6-449d-a788-887bc84cfd0f/karistusseadustiku-muutmise-
ja-sellega-seonduvalt-teiste-seaduste-muutmise-seadus-euroopa-liidu-oigusest-tulenevad-rahatrahvid
3
JuM selgitustele, oli põhjendatud näha ette
kolmeaastane tähtaeg.
2.
JuM
2. Eelnõu seletuskirjas (lk 26) kindlustustegevuse
seaduse § 138 muutmise selgituse juures on
asjakohane viide Euroopa Parlamendi ja nõukogu
direktiivile (EL) 2019/2121, millega muudetakse
direktiivi (EL) 2017/1132 seoses äriühingute
piiriülese ümberkujundamise, ühinemise ja
jagunemisega. Nimetatud direktiivi põhjenduspunkt
57 võimaldab finantssektori puhul direktiivist
erandeid teha, samas tuleb tähele panna, et
siseriiklikult kehtestatud erandid peavad olema
siiski seotud krediidivahendusettevõtjate ja teiste
finantsettevõtjate tegevust reguleerivate Euroopa
Liidu (EL) reeglite ja normidega. Seetõttu palume
eelnõu seletuskirjas täpsemalt välja tuua, millise
EL-i regulatsiooni alusel erandid kehtestatakse.
Palume lisada vastavad selgitused ka
väärtpaberituru seaduse ning makseasutuste ja e-
raha seaduse vastavate muudatuste juurde.
Arvestatud Seletuskirja on täiendatud.
3.
JuM
3. Palume lisaks arvestada käesoleva kirja lisades
esitatud eelnõu ja seletuskirja failis jäljega tehtud
normitehniliste ja keelemärkustega ning
märkustega eelnõu mõju kohta.
Arvestatud
MAJANDUS- JA KOMMUNIKATSIOONIMINISTEERIUM
4. 1. Kübervaldkonnas järelevalve korraldus Eelnõu kohaselt määratakse Euroopa Parlamendi ja
nõukogu määruse (EL) 2022/2554 ehk DORA
määruse artikkel 46 mõttes pädevaks asutuseks
Finantsinspektsioon (FI), millest tulenevalt hakkab
finantssektori küberturvalisuse nõuete üle
järelevalvet teostama samuti FI.
Leiame, et eelnõu seletuskirjas ei ole ammendavalt
põhjendatud, miks ei oleks võimalik järelevalve
pädevust DORA määrusest tulenevate IKT
riskijuhtimise nõuete täitmise üle anda Riigi
Infosüsteemi Ametile (RIA) ning näeme valitud
lahenduses mitmeid olulisi puuduseid.
Seetõttu esitame ettepaneku kaaluda täiendavalt
DORA määruses ettenähtud IKT-riski juhtimise
meetmete alase järelevalve pädevuse andmist
RIAle ja sellest tulenevalt:
1) sätestada küberturvalisuse seaduses (edaspidi:
KüTS), et DORA määruses kehtestatud IKTriski
juhtimise nõuete üle teostab järelevalvet RIA;
2) muuta eelnõu § 2 punkti 1, millega muudetakse
finantsinspektsiooni seadust (edaspidi: FIS) ja
millega täiendatakse paragrahvi 6 lõiget 1 punktiga
75 ja §-i 4, millega lisatakse §-ga 4711 vastavalt
ettepanekule, et DORA määruses kehtestatud IKT-
riski juhtimise nõuete täitmise järelevalve jääb
RIAle;
3) sätestada investeerimisfondide seaduses,
kindlustustegevuse seaduses, krediidiasutuste
seaduses (KAS), makseasutuste ja e-raha asutuste
seaduses ning väärtpaberite registri pidamise
Mitte
arvestatud
DORA määruse artikkel 46 annab selge normi, et
DORA määruse kohane pädev asutus on sama
asutus, kes on määratud riigis finantsasutuse üle
finantsjärelevalvet teostama. Eestis on riiklikuks
finantsjärelevalve asutuseks Finantsinspektsioon ja
oluliste krediidiasutuste korral Euroopa Keskpank.
Seega ei ole tegemist DORA määrusest tuleneva
liikmesriigi valikukohaga, keda määrata DORA
pädevaks asutuseks, vaid otsekohalduvast määrusest
tuleneva asjaoluga, et pädev asutus on sama asutus,
kes on finantsjärelevalveasutus. Seega tähendaks
finantssektoris muu pädeva asutuse määramine
finantsjärelevalve ümberkorraldamist Eestist.
Vaata täiendavaid selgitusi seletuskirja punkti 2.3.2
alampunktis E.
Nõustume, et RIA-s on parim küberturbe kompetents,
kuid ka Finantsinspektsioon on aastaid teostanud
finantssektoris järelevalvet selle üle, kuidas
finantsasutused järgivad Finantsinspektsiooni
kehtestatud nõudeid finantsjärelevalve subjekti
infotehnoloogia ja infoturbe korraldusele, nõudeid
finantsjärelevalve subjekti talitluspidevuse
korraldusele, EBA suuniseid IKT- ja turvariskide
juhtimiseks ning EIOPA info- ja
kommunikatsioonitehnoloogia turbe- ja
juhtimissuuniseid ja pilveteenuse osutajatele tegevuse
edasiandmise suunised. Rääkimata riskijuhtimise
(operatsiooniriski) ja tegevuste edasiandmise
järelevalvest üldisemalt.
4
seaduses (EVKS), et RIAl on õigus teostada
järelevalvet DORA määruses sätestatu täitmise üle,
sealhulgas teha DORA määruse artiklis 50
sätestatud järelevalvetoiminguid ning rakendada
karistusi ja muid meetmeid (ehk muuta eelnõus
ettenähtud sarnase sõnastusega sätteid, mis
annavad vastava pädevuse FIle);
4) muuta teisi asjasse puutuvaid eelnõu sätteid.
Seletuskirjas on välja toodud, et selleks, et anda
DORA pädeva asutuse roll osaliselt RIA-le, tuleb
RIA määratleda (kaas)pädeva asutusena ka kõikide
DORA määruse artiklis 46 loetletud finantssektori
Euroopa Liidu direktiivide ja määruste tähenduses
ning selline lähenemine tooks mh kaasa nt
osamaksete tasumise kohustuse. Sellega kogu
põhjendus piirdub ning ei ole välja toodud, millised
olid need arutluskäigud, millega taoline variant
pädevuse jagamiseks kõrvale jäeti, millised on need
„rida kohustusi“ ja kas need ka konkreetselt DORA
määrusest tuleneva pädevuse degeleerimisel
kindlasti RIAle kohalduksid.
RIA on väljendanud varasemaltki soovi jääda riigis
küberpädevust omavaks asutuseks ning teinud
ettepaneku pädevuse jagamiseks.
Puudub põhjendus, mis välistab osaliselt
järelevalve pädevuse edasi delegeerimist.
Muudatus eeldab küberturbe kompetentsi tagamist
FIs. Siinkohal tuleb arvesse võtta, et vastava
kompetentsiga isikute hulk Eesti töörutul on
piiratud. Küberturbe järelevalve võimekuse
loomine mitmesse asutusse tähendab täiendavat
konkurentsi tööjõu suhtes erasektori kõrval.
Eestis on seni küberturbe tagamisel lähtutud
tsentraliseeritud mudelist, vastava suuna on heaks
kiitnud ka Vabariigi Valitsuse Julgeolekukomisjoni
Küberjulgeoleku Nõukogu. Kuigi mitmetes
Euroopa Liidu riikides on küberturbe tagamine ja
järelevalve jaotatud sektoriaalsete asutuste vahel, ei
ole see Eesti väiksust ja ressursi piiratust arvestades
asjakohane. Samuti ei ole selline tegevus kooskõlas
null-eelarve põhimõtetega, mille raames otsitakse
võimalusi ülesannete dubleerimise vältimiseks
avalikus sektoris. Laiahaardelise ja efektiivse
küberturvalisuse tagamiseks on oluline, et RIAl
oleks terviklik pilt kõikidest küberturbe riskidest
üle sektorite. Arvestades finantsasutuste vastu
suunatud intsidentide rohkust ning mõju, on
tegemist eriti olulise sektoriga riigi üldise
küberturvalisuse tagamisel.
Eelnõuga ettenähtud koostöö RIAga ning
finantsasutuste teavitamine olulistest
küberintsidentidest ei taga piisavat ülevaadet, et
efektiivselt läbi viia nii ennetus- ja
analüüsitegevusi kui operatiivselt toetada
intsidentide lahendamist.
Finantssektor on terviklik, mida tuleb vaadelda
kompaktselt, mis tähendab, et ka järelevalve on
terviklik ja kompaktne. Esitame näite (seletuskirja kl
12 ja 13 on näiteid rohkem). Krediidiasutuste
direktiivis on sätestatud „Finantsinstitutsioonidel
peab olema kindel äriühingu juhtimise korraldus,
mis hõlmab selget organisatsioonilist ülesehitust,
mille puhul vastutusalad on selgesti määratletud,
läbipaistvad ja järjepidevad, tõhusaid protseduure
riskide või võimalike riskide kindlaksmääramiseks,
juhtimiseks, jälgimiseks ja nendest teatamiseks,
piisavat sisekontrollikorda, sealhulgas usaldusväärne
juhtimis- ja raamatupidamiskord, võrgu- ja
infosüsteeme, mis on loodud ja mida hallatakse
kooskõlas määrusega (EL) 2022/2554, ning
tasustamispoliitikat ja -tavasid, mis on kooskõlas
usaldusväärse ja tõhusa riskijuhtimisega ja edendavad
seda.“ Näite kohaselt ei oleks FI-l võimalik teostada
krediidiasutuse juhtimise korralduse üle terviklikku
järelevalvet, jättes järelevalvest välja võrgu- ja
infosüsteemide järelevalve.
Finantsinspektsioon on mh alustanud oma
küberkompetentsi suurendamisega (täiendavate
ekspertide kaasamine).
5
Lisaks tuleb arvestada, et DORA määrus sätestab
erinormid vaid teatud Euroopa Parlamendi ja
nõukogu direktiivi (EL) 2022/2555 ehk NIS2
direktiiviga üle võetavate kohustuste osas ning
samuti rakenduksid vähemalt osadele
finantsasutustele ka Eesti-spetsiifilised nõuded (vt
siinse kooskõlastuse punkte 3 ja 9). Nende nõuete
osas jääks järelevalvepädevus siiski RIAle. Seega
oleks otstarbekas jätta pädevus ühte asutusse, kes
saab kõikehõlmavalt teha järelevalvet nii DORA
määruse nõuete kui ka sealt väljajäävate, kuid
muudes õigusaktides (peamiselt KüTSis) sätestatud
nõuete täitmise üle.
Oleme koos RIAga valmis siinset ettepanekut
täiendavalt arutama ning mainime, et järgnevad
ettepanekud on tehtud sõltumata siinse ettepaneku
sisust.
5.
MKM
2. Euroopa Parlamendi ja nõukogu määruse
(EL) 2022/2554 ehk DORA määruse valikukoht
nr 3
Seletuskirja lk 11 (DORA määruse valikukoht nr 3
selgitus, viimane tekstilõik) on märgitud:
Eelnõu väljatöötamisel oli kaalumisel ka variant, et
kui hoiu-laenuühistud jätta DORA määruse
kohaldamisalast välja, siis alternatiivina oleks
võimalik neile ka KüTS küberturvalisuse nõudeid
kohaldada ja RIA oleks sellisel juhul pädevaks
asutuseks. Kuna hoiu-laenuühistute seaduseelnõu
menetlus on hetkel veel pooleli, siis hetkel on
võetud lähenemine, et sõltuvalt menetluse seisust ja
tulemusest seoses viidatud eelnõuga, tehakse
otsused ka selles osas, mis puudutab hoiu-
laenuühistutele küberturvalisuse nõuete
kohaldamist.
Siin juhime tähelepanu Euroopa Parlamendi ja
nõukogu direktiivi (EL) 2022/2555 ehk NIS2
direktiivi artikli 2 lõikele 10, mis sätestab:
Käesolevat direktiivi ei kohaldata üksuste suhtes,
mille liikmesriigid on kooskõlas määruse (EL)
2022/2554 artikli 2 lõikega 4 kõnealuse määruse
kohaldamisalast välja jätnud.
Sisuliselt on NIS2 direktiivi kohaldamisalast
välistatud Eesti puhul hoiu-laenuühistud. Seetõttu
soovitame üle hinnata, kas DORA määruse
valikukoht nr 3 tulemus jääb samaks või mitte. Kui
valikukoht muutub, siis tuleb ka seletuskirja muud
osad üle vaadata (nt seletuskirja lk-l 13 olev tabel
ja eelnõu § 3 sisu ning selgitus).
Selgitatud Hoiu-laenuühistutele DORA nõudeid ei kohaldata,
kuid kui hoiu-laenuühistute seaduseelnõu jõustumisel
kohalduvad ühistupankadele mh krediidiasutuste
seaduse sätted, siis see tähendab ühtlasi nende suhtes
DORA nõuete kohaldamist ja Finantsinspektsiooni
järelevalve alla kuulumist.
6.
MKM
3. NIS2 direktiivi järgimine
Seletuskirja lk-l 15 on tabel, mille üks tulp on ka
NIS2 direktiivi kohta. Tolles tabelis on
krediidiasutuste ja finantsturutaristute real
märgitud NIS2 direktiivi artikli 4 lõigete 1 ja 2 sisu
ehk loetelu teemadest, mida need isikud ei pea
NIS2 direktiivi puhul järgima.
Samas ei ole seal välja toodud, millised võivad olla
NIS2 direktiivi sätted, mida peaksid need ettevõtjad
NIS2 direktiivi artiklite 2 ja 3, koosmõjus NIS2
direktiivi artikli 4 lõigete 1 ning 2, tõttu järgima.
Esmasel analüüsil tundub, et nendeks säteteks
võivad olla NIS2 direktiivi artikkel 9, artikkel 14
Arvestatud Seletuskirja on täiendatud. Samas juhime tähelepanu,
et tegemist on suuresti riigi ja pädevate asutuste suhtes
kohalduvate nõuetega ning vähesemal määral
nõuetega, mida ettevõtjad peavad lisaks DORA-le
järgima.
6
lõige 3, artikkel 16, artikli 24 lõige 1, artikkel 29 ja
artikkel 30. Kaudselt on kohaldamisala mõttes siin
seotud ka NIS2 direktiivi artiklid 7, 9, 10 ja 16.
Lisaks on liikmesriikidel võimalik (mitte kohustus)
kohaldada nende isikute suhtes ka NIS2 direktiivi
artikli 3 lõike 3 tõttu ka artiklit 27.
Siin soovitame tutvuda ka Euroopa Komisjoni
18.9.2023 teatisega „Komisjoni suunised direktiivi
(EL) 2022/2555 (küberturvalisuse 2. direktiiv)
artikli 4 lõigete 1 ja 2 kohaldamise kohta 2023/C
328/02“ – leitav siit: https://eur-
lex.europa.eu/legal-
content/ET/TXT/?uri=CELEX:52023XC0918(01).
2.5. Eeltoodu tõttu palume seletuskirja täiendada
eelmainitud sätetega.
7.
MKM
4. Riigi Infosüsteemi Ameti teavitamine tõsisest
info- ja kommunikatsioonitehnoloogiaga seotud
intsidendist ning olulisest küberohust
Eelnõu tekitab mitmes seaduses kohustuse
teavitada tõsisest info- ja
kommunikatsioonitehnoloogiaga seotud
intsidendist ning olulisest küberohust muu hulgas
ka Riigi Infosüsteemi Ametit (edaspidi: RIA).
Nendeks muudatusteks on eelnõu § 4 punkt 7,
eelnõu § 5 punktid 6, 8 ja 9, eelnõu § 7 punkt 5,
eelnõu § 8 punkt 16, eelnõu § 9 punkt 3, eelnõu §
10 punktid 11, 13, 19 ning 20.
Enamus isikutest, kes neid kohustusi eelnõu
tulemusena peavad hakkama täitma, pole
varasemalt pidanud RIA-le neid teavitusi
kohustuslikus korras tegema. Sellest hoolimata
toetame nende muudatuste tegemist, kuna samad
või sarnased küberintsidendid ja -ohud võivad aset
leida või ilmneda ka muudes valdkondades ning
RIA saab sel juhul aegsasti tegeleda nende
ennetamise ja lahendamisega.
Teadmiseks
võetud
8.
MKM
5. Planeeritava finantskriisi ennetamise ja
lahendamise seaduse (edaspidi: FELS) § 29 lg 1
punkti 8 osas soovitame hinnata, kas eelnõuga
planeeritava FELS § 29 lg 1 punkti 8 muudatuses
peaks DORA määruse asemel olema viide
küberturvalisuse seadusele (edaspidi: KüTS). Seda
ennekõike seetõttu, et NIS2 direktiiviga ei muutu
„võrgu- ja infosüsteemi“ mõiste ning hetkel on
selle mõiste sisu üle võetud KüTS § 2 punktis 1.
Arvestatud FELS § 29 lõike 1 punktis 8 on DORA viide
asendatud viitega KüTS § 2 punktile 1.
9.
MKM
6. Planeeritav finantsinspektsiooni seaduse
(edaspidi: FIS) § 4711
FIS § 4711 lg 1 punkti 2 kohaselt hõlmab
Finantsinspektsiooni (edaspidi: FI) ja RIA vaheline
koostöö muu hulgas RIA-lt tehnilise nõu ja abi
küsimine ning FI-le selle andmine […].
Me pole üldiselt vastu tolles punktis raamistatud
koostööle, kuid tekib küsitavus, kas FI kohta käivas
seaduses on võimalik tekitada RIA-le kohustusi (vt
allajoonitud osa) kui FIS ei reguleeri RIA
ülesandeid ja toimimist.
Arvestatud
10.
MKM
7. Planeeritav FIS § 54 lg 4 punkt 12
Toetame FIS § 54 lõike 4 täiendamist punktiga 12
ning selgitame, et NIS2 direktiivi üle võtvasse
Selgitatud Käesoleva eelnõu raames me ei näe vajadust FIS § 54
lõike 4 täiendamiseks.
7
eelnõusse kavandatakse koostöösäte DORA
määruse pädevate asutustega.
Täiendavalt soovitame hinnata, kas FIS § 54 lõiget
4 tuleks täiendada ka kontrollimisandmete
edastamisega Andmekaitse Inspektsioonile.
11.
MKM
8. Ebatäpsused FIS §-ga 542
Juhime tähelepanu, et eelnõu § 2 punktiga 6
täiendatakse FIS § 542 lõikega 4, kuid seletuskirjas
tolle lõike kohta ei ole selgitusi esitatud. Samuti on
seletuskirjas (lk 20) toodud selgitus FIS § 544
täiendamise kohta lõikega 41, kuid eelnõus sellist
lõiget pole.
Arvestatud Seletuskirjas on asendatud lõige 41 lõikega 4.
12.
MKM
9. KüTS-i nõuete kohaldumine
krediidiasutustele
Eelnõu § 7 punktiga 4 lisandub krediidiasutuste
seadusesse (edaspidi: KAS) § 824, mille lõike 3
kavandatava sõnastuse kohaselt ei kohaldata
krediidiasutustele KüTS-i 2. peatükis sätestatud
küberturvalisuse tagamise nõudeid. Eelnõus on ka
märkus, et õige viide selgub kooskõlas NIS2
direktiivi üle võtmisega, millised KüTS-i sätted
pankadele ei kohaldu.
Nõustume põhjendusega selles osas, et DORA
määrus toimib NIS2 direktiivi suhtes lex
specialis’ena ja sealsed nõuded katavad ära NIS2
direktiivis esitatavad nõuded küberturvalisuse
riskijuhtimisele ja küberintsidentidest
teavitamisele. Samas näiteks sisaldab KüTS-i
alusel kinnitatud Eesti infoturbestandard ehk E-ITS
tingimusi ja nõudeid, mis on Eesti spetsiifilised
ning mida ei kata ei NIS2 direktiiv ega DORA
määrus – näiteks eID ja X-tee. Seetõttu peaks
tulevikus olema olukord, kus finantsvaldkonna
ettevõtjad üldiselt peavad järgima vaid DORA
määruse nõudeid, kuid kui mingis osas DORA
määrus (sh selle alusel kehtestatud rakendusaktid)
KüTS-i alusel kehtestatud Eesti spetsiifilisi
nõudeid ära ei kata, siis tuleb täita ka neid.
Nõustume sellega, et NIS2 direktiivi üle võtvas
eelnõus saab täpsustada, millised KüTS-i 2. peatüki
sätted kohalduvad või ei kohaldu. Selle käigus
selgub ka, millised NIS2 sätted kohalduvad ka
DORA määruse subjektidele – vt siin eespool
olevat märkust nr 2. NIS2 direktiivi üle võtvas
eelnõus saab ka määratleda, millal KüTS-is
sätestatud erisused hakkavad kehtima (vt siin ka
eelnõu seletuskirja lk 30 alguses olevat selgitust).
Siinse muudatusega seonduvalt on Pangaliit enda
07.12.2023 tagasisides eelnõule esitanud ka
ettepaneku Vabariigi Valitsuse 9.12.2022 määruse
nr 121 „Võrgu- ja infosüsteemide küberturvalisuse
nõuded“ § 3 täiendamisega lõikega 4, mis välistaks
E-ITSi ja selle vabatahtliku alternatiivi
(rahvusvahelise standardi ISO/IEC 27001)
kohaldumise ettevõtjatele, kes on DORA määruse
kohaldamisalas. Leiame, et see ettepanek on
asjakohane, kuid kavandatava KAS § 824 lõike 3
sõnastusest sõltub, kas on vaja teha Pangaliidu
Selgitatud Meie hinnangul ei pruugi olla DORA määrusega
kooskõlas lähenemine, et ettevõtjaid kohustatakse
järgima konkreetseid standardeid. Näiteks DORA
drafti kohaselt peaksid ettevõtjad võtma arvesse
juhtivaid tavasid ja vajaduse korral asjakohaseid
rahvusvahelisi standardeid, kui töötavad välja ja
rakendavad järjepidevaid ja ajakohaseid IKT-
turbepoliitikaid, mis toetavad DORA nõuetele
vastavuse tagamist (ehk see on jäetud paindlikuks).
DORA nõuetele vastavuse tõendamiseks on
soovitatud finantsasutustel rakendada ISO/IEC
27001 standardit (RTS-ide väljatöötamisel on mh
võetud arvesse viidatud standardit ja nagu eespool
osutatud, on ka viidatud rahvusvahelistele
standarditele).
Juhime tähelepanu, et KüTS § 7 lõikes 5 sätestatud
volitusnorm on kehtiva sõnastuse kohaselt ette nähtud
samas paragrahvis ehk §-s 7 sätestatud kohustuste
täitmise ja süsteemide küberturvalisuse tagamiseks.
Kuna DORA kohaldamisalasse kuuluvatele
finantsasutusele ei kohaldata §-i 7, siis ei kohaldu
neile ka viidatud standardid.
Ka võrgu- ja infosüsteemide küberturvalisuse nõuete
määruse kohaselt ei ole teenuse osutaja kohustatud
rakendama Eesti infoturbestandardit, kui tema
turvameetmed vastavad rahvusvahelise standardiga
ISO/IEC 27001 kehtestatud nõuetele ja tal on selleks
sertifikaat. Seega meie arusaamise järgi ei ole ka
kehtiva õiguse kohaselt nad kohustatud rakendama
lisaks rahvusvahelise standardile Eesti spetsiifilisi
nõudeid.
Kui MKM hinnangul on asjakohane kohaldada
finantsasutustele täiendavaid (mitte dubleerivaid), sh
Eesti spetsiifilisi nõudeid, saame omapoolse
seisukoha kujundada pärast tutvumist vastavate
muudatusettepanekutega.
8
ettepanekus tehtud muudatust eelnimetaud
Vabariigi Valitsuse määruses. Seda ennekõike
seetõttu, et kui KAS § 824 lõike 3 tõttu välistatakse
muuhulgas DORA määruse subjektide puhul KüTS
§ 7 lõige 5, siis sellise välistuse korral puudub
vajadus teha Vabariigi Valitsuse määrusesse KAS-
i tehtud nõuet kordav õigusnorm.
13.
MKM
10. Eelnõu § 7 punkti 10 puhul pole otseselt selge
eelnõust ega seletuskirjas, millisesse KAS-i
peatükki soovitakse taaskehtestada eelnõu § 7
punktiga 9 kehtetuks tunnistatavate paragrahvide
sisu. Eelduslikult on tegemist 12. peatükiga.
Selgitatud Vastav täpsustus (viide peatükile 12) lisatakse punkti
11, mis loob eelduse, et ka sellele eelnevad
paragrahvid on peatükis 12.
14.
MKM
11. Info- ja kommunikatsioonitehnoloogia
süsteem
Eelnõu § 8 punkti 13 ning eelnõu § 10 punkti 7 osas
soovitame hinnata, kas siin on võimalik sõnade
„info- ja kommunikatsioonitehnoloogia süsteem“
asemel kasutada KüTS § 2 punktis 1 olevat terminit
„võrgu- ja infosüsteem“. Eelnõu § 8 punktis 13
soovitakse neid sõnu kasutada sõna „infosüsteem“
asemel.
Palume ka üle vaadata seletuskirja terminoloogia
osa (lk 45), kuna seal on viidatud „võrgu- ja
infosüsteemi“ mõiste puhul ainult NIS2 direktiivis
sätestatud mõistele. Siin vt ka eespool olevat
märkust nr 4.
Selgitatud Eelnõu puhul on otsustatud jääda DORA direktiivis
kasutatava terminoloogia juurde. Näiteks asendatakse
MERAS direktiivis termin „infosüsteem“ terminiga
„info- ja kommunikatsioonitehnoloogia süsteem“.
Sama on MiFID2 direktiivi terminoloogiaga.
15.
MKM
12. Eelnõu § 9 punktis 1 ehk väärtpaberite
registri pidamise seaduse (EVKS) § 71 lõike 5
esimese lause muudatuses on RIA nimetus
nurksulgudes.
Arvestatud Nurksulud on kustutatud.
16.
MKM
13. Pensioniregister
EVKS reguleerib penisoniregistri pidamist ning
eelnõu seletuskirja lk 37 (lõpus) kohaselt kohaldub
registripidajale „DORA määruse turvastandard“.
Eelnõu seletuskirjas on EVKS § 302 lõike 2
selgitustes mainitud, miks registripidajale ei
kohaldu KüTS-i 2. peatükk.
EVKS § 13 lõike 1 kohaselt on pensioniregister riigi
infosüsteemi kuuluv andmekogu
kogumispensionide seaduses sätestatud
kohustuslike ja vabatahtlike pensionifondide
osakute ning nendega tehtavate toimingute
registreerimiseks. Seetõttu on pensioniregister
praegu KüTS-i kohaldamisalas sama seaduse § 3 lg
4 punkti 1 tõttu. Samas saame aru, et eelnõuga
soovitakse tekitada olukord, kus pensioniregistri
pidaja (vastutav töötleja ja volitatud töötleja)
kohaldaks DORA määruse nõudeid.
Seetõttu soovitame hinnata, kas eelnõu § 9 punkt 3
(EVKS täiendamine §-ga 302) on piisav, et
seletuskirjas toodud olukord saavutada. Ehk tuleb
hinnata, kas eelnõud tuleb siin täiendada, tehes
EVKS-is täiendavad sätted või kas alternatiivina
tuleks teha täiendav säte KüTS §-s 3. Oleme valmis
arutama, et kas see muudatus võiks olla NIS2
direktiivi üle võtvas eelnõus – selleks palume
ühendust võtta siinse vastuse koostajaga.
Selgitatud Eelnõu on muudetud ja pensioniregistrile ei hakata
kohaldama DORA määruse nõudeid ning neile jäävad
kohalduma KüTS nõuded.
9
Kui leiate, et eelnõuga kavandatavad sätted on
piisavad, siis palume EVKS § 302 lõike 2
sõnastamisel lähtuda kavandatava KAS § 824 lõike
3 sõnastusest, sh vt ka eespool olevat märkust nr 8.
17.
MKM
14. Väärtpaberituru seaduse muudatused
NIS2 direktiivi subjektide hulka on hõlmatud
finantsturutaristust Euroopa Parlamendi ja
nõukogu direktiivi 2014/65/EL artikli 4 punktis 24
määratletud kauplemiskohtade korraldajad ning
Euroopa Parlamendi ja nõukogu määruse (EL) nr
648/2012 artikli 2 punktis 1 määratletud kesksed
vastaspooled (vt NIS2 direktiivi lisa I punkti 4).
Väärtpaberituru seadus (edaspidi: VpTS)
reguleerib muu hulgas ka kauplemiskohtade
korraldajate ning kesksete vastaspoolte tegevust.
Eeldame, et tegemist on samade
ettevõtjatega/isikutega, mis on nimetatud eelmises
alapunktis.
Eeltoodu tõttu soovitame hinnata, kas eelnõud on
vaja täiendada sättega nagu on planeeritud KAS §-
i 824. Siin vt ka eespool olevat märkust nr 8.
Arvestatud Korraldaja puhul on eelnõusse lisatud täpsustus, et
tema suhtes ei kohaldata KüTS 2. peatükis sätestatud
küberturvalisuse nõudeid.
RIIGIKANTSELEI
18.
RK
1. Eelnõu seletuskirja lk-del 14-15 on esitatud
eksitav CER direktiivi[1] tõlgendus. Seletuskirjas
viidatakse CER direktiivi põhjenduspunktile nr 21
ning selgitatakse, et kuna finantssektori ettevõtjate
toimepidevus on põhjalikult hõlmatud DORA
regulatsiooniga[2], ei tuleks selliste ettevõtjate
suhtes kohaldada CER direktiivi artiklit 11 ning
III, IV ja VI peatükki, et vältida dubleerimist ja
ebavajalikku halduskoormust. Vaatamata sellele
peaksid liikmesriigid CER direktiiviga ette nähtud
kriteeriumide põhjal ja selles sätestatud menetlust
kohaldades identifitseerima sellised finantssektori
ettevõtjad elutähtsa teenuse osutajana ning
kohaldama nende suhtes CER direktiivi II peatükis
sätestatud strateegiaid, liikmesriigi riskianalüüse ja
toetusmeetmeid.
Seletuskirjas on jäetud täies ulatuses
arvestamata direktiivi artiklites sätestatuga. CER direktiivi artikli 3 kohaselt ei takista CER
direktiiv liikmesriike elutähtsa teenuse osutajate
suurema toimepidevuse saavutamiseks vastu
võtmast või säilitamast oma õigusnorme, kui
sellised õigusnormid on kooskõlas liikmesriikide
liidu õiguses sätestatud kohustustega. Artiklis 8 on
omakorda sätestatud, et liikmesriigid tagavad, et
artiklit 11 ning III, IV ja VI peatükki ei kohaldata
elutähtsa teenuse osutajate suhtes, kelle nad on
Arvestatud Seletuskirja on lisatud täpsustus, et liikmesriigid võivad
vastu võtta või säilitada liikmesriigi õigusnormid,
millega saavutada kõnealuste elutähtsa teenuse osutajate
toimepidevuse kõrgem tase, tingimusel et need
õigusnormid on kooskõlas kohaldatavate liidu
õigusenormidega.
[1] Euroopa Parlamendi ja nõukogu direktiiv (EL) 2022/2557, mis käsitleb elutähtsa teenuse osutajate toimepidevust ja millega
tunnistatakse kehtetuks nõukogu direktiiv 2008/114/EÜ. [2] Euroopa Parlamendi ja nõukogu määruses (EL) 2022/2554, mis käsitleb finantssektori digitaalset tegevuskerksust ning
millega muudetakse määrusi (EÜ) nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011
(DORA määrus) ja -Euroopa Parlamendi ja nõukogu direktiivis (EL) 2022/25562, millega muudetakse direktiive 2009/65/EÜ,
2009/138/EÜ, 2011/61/EL, 2013/36/EL, 2014/59/EL, 2014/65/EL, (EL) 2015/2366 ja (EL) 2016/2341 seoses finantssektori
digitaalse tegevuskerksusega (DORA direktiiv).
10
identifitseerinud lisa tabeli punktides 3, 4 ja 8
esitatud sektorites. Sama artikli teine lause aga
täpsustab, et liikmesriigid võivad vastu võtta või
säilitada liikmesriigi õigusnormid, millega
saavutada kõnealuste elutähtsa teenuse
osutajate toimepidevuse kõrgem tase,
tingimusel et need õigusnormid on kooskõlas
kohaldatavate liidu õigusenormidega.
Sellest tulenevalt ei ole CER direktiivi artikli 11
ning peatükkide III, IV ja VI välistamine
DORA subjektide suhtes imperatiivne, vaid
liikmesriigi enda valik.
Seletuskirjas on õigesti märgitud, et Riigikantselei
on CER direktiivi ülevõtmiseks välja töötanud
hädaolukorra seaduse ja teiste seaduste muutmise
seaduse eelnõu[3] (HOS CER eelnõu). Nimetatud
eelnõu väljatöötamisel on analüüsitud CER
direktiivi ülevõtmise võimalused ning on jõutud
järelduseni, et on mõistlik säilitada Eesti
olemasolevat elutähtsate teenuste regulatsiooni ja
integreerida CER direktiivist tulenvaid muudatusi
olemasolevasse regulatsiooni. Seda siis ka
elutähtsa teenuse osutajatest krediidiasutuste
suhtes.
Juhime ka tähelepanu sellele, et nii DORA
regulatsioonid kui ka NIS2[4] direktiiv
keskenduvad IKT riskidele ja küberturvalisusele.
CER direktiiv on oluliselt laiem ning keskendub
elutähtsate teenuste toimepidevusele tervikuna
ning seega ei ole DORA ja NIS2 sellega
samaväärsed.
Oluline on panna tähele ka seda, et CER kohaselt
on elutähtsa teenuse osutajate krediidiasutuste
pädevaks asutusteks on lisaks
Finantsinspektsioonile ja Euroopa Keskpangale ka
Eesti Pank elutähtsa teenuse toimepidevust
korraldava asutusena.
Eelnevast tulenevalt palume asendada seletuskirjas
toodud selgitusi, sh leheküljel 15 esitatud tabelis
toodu CER direktiivi kohta eespool toodud
selgitustega.
19.
RK
Krediidiasutuste seadust täiendatakse §-ga 4711,
mis reguleerib koostööd küberturvalisuse
valdkonnas. Paragrahvi 4711 lõike 1 punkti 3
kohaselt hõlmab koostöö Finantsinspektsiooni ja
Riigi Infosüsteemi Amet teabe vahetamist asutuste
vahel, sealhulgas küberintsidentide ja küberohtude
kohta ning küsimustes, mis puudutavad
elutähtsaid krediidiasutusi ja kauplemiskohti.
Arvestatud Märkuse puhul on ilmselt mõeldud Finantsinspektsiooni
seaduse muutmist, mitte krediidiasutuste seaduse
muutmist.
Oleme eelnõus täpsustanud, et mõeldud on
finantsjärelevalve subjekte, kes on elutähtsa teenuse
osutajad.
[3] https://eelnoud.valitsus.ee/main/mount/docList/ad7af8cd-617c-45f3-b850-78ad002f6a3a. [4] Euroopa Parlamendi ja nõukogu direktiiv (EL) 2022/2555, mis käsitleb meetmeid, millega tagada
küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi
(EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148.
11
Jääb ebaselgeks, mida mõeldakse elutähtsate
krediidiasutuste all. NIS2 eristab elutähtsaid (lisa
I) ja olulisi üksuseid (lisa II). Kas tegemist on
elutähtsate üksustega NIS2 mõistes või soovitakse
hoopis piirduda elutähtsa teenuse osutajatest
krediidiasutustele? Elutähtsa teenuste osutajate
ring on väga piiratud, elutähtsate üksuste ring NIS2
mõistes laiem. Palun täpsustada seda asjaolu ning
vajadusel täiendada eelnõu ja seletuskiri.
FINANTSINSPEKTSIOON
Eelnõu ettepanekud
20.
FI
1. Euroopa järelevalveasutused (ESA-d) on välja
töötamas tehnilisi standardeid intsidentidest ja
küberohtudest teavitamise kohta, mis esitatakse
Euroopa Komisjonile hiljemalt 17.07.2024
(DORA määruse artikkel 20). Tehnilised
standardid võivad kehtestada andmete esitamise
formaadid, mida subjektid peavad kasutama FI-le
andmeid edastades. FI hinnangul tuleb täiendada
Eelnõu sätteid intsidentidest ja küberohtudest
teavitamise puhul selliselt, et FI-l oleks vajadusel
võimalik kehtestada andmete esitamiseks kindel
formaat (sarnaselt näiteks MiCA tehniliste
standartide eelnõu artiklile 41: „Issuers shall
submit the information referred to in this
Regulation in the data exchange formats and
representations specified by the competent
authorities and respecting the data point definition
of the data point model and the validation formulae
stated in Annex V and the following
specifications…“). Sellest tulenevalt teeme
järgmised ettepanekud:
Selgitatud Vt kommentaari märkuse nr 20 juures.
21.
FI
a) Täiendada Eelnõu § 4 punkti 7, millega
täiendatakse investeerimisfondide seadust
(edaspidi IFS) §- ga 3451 , lisades IFS § 3451 lõike
1 lõppu lause: „Finantsinspektsioon võib määrata
tõsisest info- ja kommunikatsioonitehnoloogiaga
seotud intsidendist teavitamise formaadi.“
Samasisulise muudatuse palume teha Eelnõu § 5
punktis 6 (kindlustustegevuse seaduse (edaspidi
KindlTS) § 1051 lõige 1), § 7 punktis 5
(krediidiasutuse seaduse (edaspidi KAS) § 923
lõige 1), § 8 punktis 16 (makseasutuste ja e-raha
asutuste seaduse (edaspidi MERAS) § 636 lõige 6),
§ 9 punkti 3 (väärtpaberite registri pidamise
seaduse (edaspidi EVKS) § 302 lõige 3), § 10
punktis 11 (väärtpaberituru seaduse (edaspidi
VPTS) § 8218 lõige 1).
Selgitatud Märkuses on ettepanek, et Finantsinspektsioon võib
määrata tõsisest IKT-ga seotud intsidendist teavitamise
formaadi. Juhime tähelepanu DORA määruse ITS
draftile, mille kohaselt teave esitatakse DORA vorme
kasutades ning pädev asutus määrab
andmevahetusvormingu ja esitusviisi3. Meie hinnangul
ei ole valikuline formaadi määramine kooskõlas DORA
regulatsiooniga.
Art 8 – 1. Financial entities shall submit the information
referred to in this Regulation in the data exchange
formats and representations specified by competent
authorities and respecting the data point definition of the
data point model and the validation formulas specified
in Annex V as well as the following specifications: ….
Samuti on artiklis 4 täpsustus, et 1. Financial entities
shall use secure electronic channels to submitting
intimal notification and intermediate and final reports as
agreed with the competent authorities.
3 https://www.eiopa.europa.eu/system/files/2023-12/JC%202023%2070%20-
%20%20CP%20on%20draft%20RTS%20and%20ITS%20on%20major%20incident%20reporting%20under%20DORA.pdf
12
22.
FI
b) Täiendada Eelnõu § 4 punkti 7, lisades IFS §
3451 lõike 3 lõppu lause: „Finantsinspektsioon
võib määrata olulisest küberohust teavitamisel
andmete esitamise formaadi.“ Samasisulise
muudatuse palume teha Eelnõu § 5 punktis 6
(KindlTS § 1051 lõige 3), § 7 punktis 5 (KAS § 923
lõige 3), § 8 punktis 16 (MERAS § 636 lõige 8),
EVKS § 302 lõige 5), § 10 punktis 11 (VPTS § 8218
lõige).
Selgitatud Vt selgitust märkuse nr 21 juures.
23.
FI
2. Riigisiseselt on tehtud valik mitte kohaldada
DORA määrust hoiu-laenuühistule, sest
õiguslikult ei ole hoiu-laenuühistud hetkel
finantsjärelevalve subjektid. Käesoleva Eelnõuga
samaaegselt on menetluses hoiu-laenuühistute
seaduse ja sellega seonduvalt teiste seaduste
muutmise seaduse eelnõu, mille lõplikust sisust
sõltub, kuidas näha ette digitaalse tegevuskerksuse
nõuete rakendamine ka hoiulaenuühistutele.
Hetkel kehtiv KAS § 38 sätestab et ühistupankade
tegutsemisel kohaldatakse hoiulaenuühistu kohta
sätestatut, kui KAS-st ei tulene teisiti. Eelnõu §-iga
3 täiendatakse hoiu-laenuühistu seadust §-iga 2 1 ,
mille kohaselt hoiu-laenuühistule DORA määrust
ei kohaldata, mistõttu on selle valguses võimalik
ka tõlgendus, et DORA määruse nõuded
ühistupankadele ei kohaldu. Selleks, et tagada
õigusselgust, tuleb KAS-s selgelt sätestada, et
DORA määrus kohaldub ka ühistupankadele. Kui
hoiu-laenuühistud tulevad FI järelevalve alla
ühistupankade vormis, siis pakutud täienduse
alusel hakkab neile ka DORA määrus kohalduma.
Selgitatud HLÜS eelnõus olev säte (KAS § 38 muutmine)
„Ühistupanga asutamisel, tegutsemisel ja lõpetamisel
kohaldatakse käesolevas seaduses (ehk KAS-is)
sätestatut käesolevas peatükis toodud erisustega“ tagab,
et ühistupanga tegutsemisele kohaldatakse mh DORA
nõudeid, kuivõrd need on hõlmatud KAS uute §-dega
824 ja 923.
24.
FI
3. Juhime tähelepanu, et Eelnõuga täiendatakse
väärteokoosseise eriseadustes, kuid karistused on
seal alternatiivsed – „karistatakse rahatrahviga
kuni 5 000 000 eurot või kuni kahekordse väärteo
tulemusel teenitud kasule või ära hoitud kahjule
vastavas summas“ ja juriidilise isiku puhul
„karistatakse rahatrahviga kuni 5 000 000 eurot või
kuni kahekordse väärteo tulemusel teenitud kasule
või ära hoitud kahjule vastavas summas või kuni
kümme protsenti juriidilise isiku või tema
konsolideerimisgrupi konsolideeritud käibest“.
Eelnõuga ei ole sätestatud juhiseid ega
kriteeriume, mille alusel peab FI eeltoodud
alternatiive kaaluma. Lisaks rõhutame uuesti, et
väärteomenetlus pole tõhus menetlusvorm
finantsõiguse rikkumiste menetlemiseks.
Selgitatud Kuna DORA nõuded integreeritakse DORA direktiiviga
finantssektori liidu õigusaktidesse, siis ka eriseadustes
vastavate paragrahvide sõnastamisel on lähtutud
asjaolust, et karistused peavad olema kooskõlas EL
õigusega. Vt näiteid ka märkuse nr 36 juures.
Täiendavad ettepanekud
25.
FI
4. Kuivõrd Eelnõuga muudetakse enamikke
Finantsinspektsiooni seaduse § 2 lõikes 2
nimetatud eriseadusi, siis palume IFS-i, KindlTS-
i, KAVS-i, KAS-i, MERAS-esse ja VPTS-i sisse
viia muudatused kohapealse kontrolli sätetes, mille
kohta oleme ettepanekud edastanud
Rahandusministeeriumile 08.05.2023 kirjaga nr 5-
1/2654. Täpsemad põhjendused leiab samuti
nimetatud kirjast.
Mitte
arvestatud
Muudatusi analüüsitakse ja nähakse ette muu
finantssektori eelnõuga.
26.
FI
5. Teeme ettepaneku muuta MERAS-e järgmisi
sätteid:
Arvestatud
13
a) MERAS § 17 lõige 5 sätestab, et FI võib jätta
tegevusloa taotluse läbi vaatamata, kui taotleja ei
ole kõrvaldanud puudusi ettenähtud tähtaja jooksul
või ei ole esitanud tähtpäevaks nõutud andmeid ja
dokumente. Soovime laiendada läbi vaatamata
jätmise võimalust ka olukorrale, kus taotlus on
esitatud oluliste puudustega. Meie ettepanek on
muuta MERAS § 17 lõiget 5 järgmiselt: „(5) Kui
taotleja ei ole kõrvaldanud käesoleva paragrahvi
lõikes 1 nimetatud puudusi ettenähtud tähtaja
jooksul või ei ole tähtpäevaks esitanud
Finantsinspektsiooni nõutud andmeid või
dokumente või taotlus on esitatud oluliste
puudustega, võib Finantsinspektsioon jätta
tegevusloa taotluse läbi vaatamata.“.
27.
FI
b) MERAS § 24 lõige 3. FI hinnangul on MERAS-
e sätted, mis puudutavad piiriüleselt makseteenuse
osutamist kolmandas riigis, ebaselged ja
puudulikud, mistõttu on Finantsinspektsioonil
takistatud nende taotluste menetlemine, kus
taotleja soovib piiriüleseid makseteenuseid
osutada kolmandas riigis (näiteks Suurbritannia ja
Põhja-Iirimaa Ühendkuningriigis). MERAS § 24
lõike 3 kohaselt kohaldatakse Eesti makseasutuse
ja e-raha asutuse poolt kolmandas riigis teenuste
osutamisele MERAS §-des 25-28, § 29 lõigetes 1,
2, 8 ja 10 ning § 92 lõigetes 11 ja 12 sätestatut.
Käesoleval juhul on asjakohane üksnes § 29 lõiked
1, 2, 8 ja 10. Nimetatud sätetest ükski ei viita
sellele, mida FI talle esitatud teabega tegema peab.
MERAS § 29 lõike 8 teine lause viitab läbi lõike 6
punkti 1 justkui, et FI peab heakskiidu andma, aga
samas nimetatud heakskiidu aluseks on MERAS §
29 lõike 6 kohaselt „sihtriigi finantsjärelevalve
asutuse hinnang“. Nimetatud sihtriigi
finantsjärelevalve asutuse hinnangu saamine
eeldab siiski MERAS § 29 lõikes 3 nimetatud
tegevusi. Sellisel juhul oleks vajalik MERAS § 24
lõike 3 viidete täiendamine. Vastav täiendus
kõrvaldaks ka puuduse menetlustähtaja osas, mida
käesoleval juhul sätestatud ei ole.
Probleemseks peame ka seda, et kolmandas riigis
piiriüleselt teenuste osutamise avalduse osas ei ole
FI-le jäetud MERAS § 29 lõike 5 kohast
dokumentide edastamise keeldumisõigust.
Kokkuvõtvalt soovime piiriüleste makseteenuste
osutamise avalduste osas kolmandas riigis
selgemat reeglistikku, mis ei pea olema üks-ühele
lepinguriigi sätetega, aga võiks sisaldada
olulisemat, st FI ülesanne, menetlustähtaeg,
keeldumisalused jms. Seejuures ei peaks eeltoodud
olukorras menetlus olema n-ö kahe-etapiline
(lepinguriigi osas teeb FI sisuliselt kaks otsust
MERAS § 29 lõiked 3 ja 6), vaid FI teeb
samaaegselt otsuse andmete ja dokumentide
edastamise ning nimekirja kandmise kohta.
Arvestatud MERAS § 24 lõiget 3 on muudetud ja sama paragrahvi
on täiendatud uue lõikega 41.
14
28.
FI
c) MERAS § 44 lõike 1 punktis 3 on viide
paragrahvile 54, kuid õige oleks viide §-le 39.
Palume nimetatud viide parandada.
Arvestatud
PANGALIIT
29.
EPL
1. Ettepanekud seoses CER direktiiviga
Eelnõu seletuskirjas on korrektselt viidatud, et
lisaks NIS2 direktiivile mõjutab DORA ka CER
direktiivi kehtivusala (vt SK p 2.5., lk 14-16).
Samas ei ole aga eelnõus rakendussätteid, mis
toetaks eelnimetatu rakendamist krediidiasutuste
suhtes õigusaktide tasandil. Alltoodud
ettepanekud põhinevad kättesaadaval
informatsioonil, et nii hädaolukorra seaduse
muudatused kui ka uue tsiviilkriisi ja riigikaitse
seaduse eelnõu sätted ei näe krediidiasutustele ette
erisusi võrreldes teiste elutähtsate teenuste
osutajatega (ETO). Samuti, et Eesti Pank jätkab
finantsteenuste osas elutähtsa teenuse korraldava
asutuse (ETKA) rolli.
Selgitatud Märkus on seotud CER direktiivi ülevõtmise
menetlusega, mille vastutavaks asutuseks on
Riigikantselei.
30.
EPL
2. Koostöö elutähtsate teenuste toimivuse
valdkonnas
Teeme ettepaneku lisada Finantsinspektsiooni
seadusesse koostöö kohta Eesti Panga ja
Riigikantseleiga analoogne lisandus nagu Eelnõus
pakutud § 47.11. Nimelt kehtiv ja meie andmetel
ka jätkuv lahendus on, et finantsteenuste osas on
ETKA-ks Eesti Pank ning üldiseks kriisideks
valmistumise korraldajaks Riigikantselei,
järelevalve teostajaks pankade üle aga
Finantsinspektsioon.
Koostöö nimetatud asutuste vahel, eelkõige aga ka
info vahetamine, on sellise lahenduse efektiivse
toimimise võtmeküsimus. Senine praktika on
siinkohal näidanud vajakajäämisi, mis mh on
krediidiasutustele kaasa toonud täiendava
halduskoormuse sama teabe topelt esitamise
kohustuse tõttu. Kindlasti võivad sellised
vajakajäämised mõjutada ka üldist kriisijuhtimise
kvaliteeti riigi tasandil.
Selgitatud Märgime, et ettepanek kuulub HOS eelnõu skoopi, mis
reguleerib elutähtsate teenuste toimivust ja koostööd
vastavate asutuste vahel. HOS eelnõu vastutavaks
asutuseks on Riigikantselei.
Juhime tähelepanu, et FIS-is on juba olemas
Finantsinspektsiooni ja Eesti Panga koostöö kokkulepet
reguleeriv säte. § 50 kohaselt võib Inspektsioon sõlmida
kahe- või mitmepoolse kokkuleppe koostöö
korraldamiseks Eesti Panga, Rahandusministeeriumi
või muu riigiasutusega, kui selline koostöö on vajalik, et
aidata kaasa finantsjärelevalve eesmärgi saavutamisele.
Inspektsioon, Rahandusministeerium ja Eesti Pank
teevad kirjaliku kokkuleppe alusel koostööd aruannete
kogumisel ja analüüsimisel, õigusaktide eelnõude
väljatöötamisel ning kriisilahendusmeetmete või -
õiguste kavandamisel ja rakendamisel ning teabe
vahetamisel finantssektori olukorda oluliselt mõjutavate
sündmuste korral.
31.
EPL
3. Krediidiasutuste seaduse nõuded
operatsiooniriski juhtimisele
Teeme ettepaneku lisada krediidiasutuste
seadusesse analoogne lisandus nagu Eelnõus
pakutud § 82.4 lg 3, kuid seda seoses hädaolukorra
seaduse / tsiviilkriisi ja riigikaitse seaduse teatud
sätete mitterakendamisega ETO-pankadele.
Ettepaneku ajendiks on CER põhjenduspunkt 21 ja
artikkel 8 ning DORA preambula punktid 19, 22 ja
23 ning artikkel 1 p 2. Oleme esitanud analoogse
ettepaneku ka Riigikantseleile, kelle vastutusalas
on hädaolukorra seaduse / tsiviilkriisi ja riigikaitse
seaduse kujundamine selliselt, et see vastaks CER
direktiivi nõuetele. Nõustume, et seoses kriisideks
ettevalmistamise vajadusega on vajalik
krediidiasutuste kaasamine
ettevalmistustegevustesse. Kuid nagu ka CER-s ja
DORA-s sätestatud, tuleks seda teha ebavajalikku
Selgitatud CER direktiivi rakendamine on Riigikantselei
vastutusalas. Riigikantselei on osutanud, et CER
direktiivi artikli 8 lõike 1 teine lause ütleb, et
liikmesriigid võivad vastu võtta või säilitada
liikmesriigi õigusnormid, millega saavutada kõnealuste
elutähtsa teenuse osutajate toimepidevuse kõrgem tase.
15
halduskoormust vältides. Oleme valmis
täiendavalt kaasa mõtlema, kuidas seda saavutada
kõige efektiivsemal moel.
32.
EPL
1. Ettepanek VV määruse nr 121 „Võrgu- ja
infosüsteemide küberturvalisuse nõuded“ (VVm)
muutmiseks
Täna kohaldub VVm nr 121 ka finantssektori
ettevõtjatele. DORA ja VVm nr 121 koosmõjul
kohalduks Eestis tegutsevatele finantssektori
ettevõtjatele küberturvalisuse valdkonnas kaks
vastavuskohustust ning kaks järelevalvet teostavat
asutust. Palun viia VVm kooskõlla Eelnõuga,
määruse (EL) 2022/2554 ning direktiiviga (EL)
2022/2555) välistamaks finantssektorile
kaasnevad riskid, tarbetu kordus ja täiendav
halduskoormus. Üheks võimalikuks lahenduseks
võib olla VVm nr 121 täiendamine §-i 3 lõikega 4
järgmises sõnastuses: „(4) määruse (EL)
2022/2554) kohaldamisalasse kuuluvatele
ettevõtjatele ei kohaldata lõike 1 ja lõike 2 alusel
kehtestatud nõudeid.
1.1. Finantssektori ettevõtjatele kohalduvad
eriseadusest tulenevad küberturvalisuse nõuded
VVm nr 121 näeb ette, et teenuse osutaja tõendab
oma süsteemi turvameetmete vastavust
järelevalveasutusele rakendades E-ITS-i või
alternatiivselt ISO/IEC 27001 standardile
vastavaid turvameetmeid ning esitab seejuures ka
kehtiva ISO/IEC 27001 vastavussertifikaadi.
VVm nr 121 on kehtestatud küberturvalisuse
seaduse (KüTS) alusel, mis omakorda kehtestab
NIS ja NIS2-s nõutud turvameetmete rakendamise
ja küberintsidentidest teavitamise nõuded olulise
teenuse ja digitaalse teenuse osutajatele. Määrus
(EL) 2022/2554 (DORA) on finantssektori
ettevõtjatele kohalduv eriseadus, mis kehtestab
spetsiifilised küberturvalisuse nõuded. Direktiivi
(EL) 2022/2555 (NIS2) ei kohaldata finantssektori
ettevõtjate suhtes ulatuses, mida reguleerib
DORA. NIS2 põhjenduspunkti 28 kohaselt tuleb
DORA-t käsitada finantssektori ettevõtjate suhtes
valdkondliku liidu õigusaktina. NIS2 artikli 4
kohaselt ei tuleks kohaldada finantssektori
ettevõtjate suhtes NIS2-st tulenevaid sätteid (sh nt
järelevalve- ja täitmise tagamise sätteid), kuna
need nähakse ette valdkondlikes õigusaktides.
DORA põhjenduspunkti 16 kohaselt kehtestatakse
DORA-ga finantssektori ettevõtjate suhtes
rangemad nõuded võrreldes NIS2-ga. Seega tuleb
DORA-t käsitleda finantssektori ettevõtjate suhtes
valdkondliku liidu õigusaktina ning mitte
kohaldada finantssektori ettevõtjate suhtes NIS2-
e.
Eelnõu peatükk 2.5 möönab, et liikmesriigid ei
tohiks kohaldada NIS2 direktiivi sätteid, mis
käsitlevad küberturvalisuse riskijuhtimist ja
teatamiskohustust, järelevalvet ja täitmise
tagamist DORA määruse kohaldamisalasse
jäävate finantssektori ettevõtjate suhtes. Eelnõu
märgib, et Finantsinspektsioon (FI) ja Euroopa
Keskpank (EKP) on pädevateks asutusteks
Selgitatud Kuna eelnõu kohaselt ei kohaldata krediidiasutustele
küberturvalisuse seaduse 2. peatükis sätestatud
küberturvalisuse tagamise nõudeid, tähendab see
ühtlasi, et krediidiasutustele ei kohaldata seaduse §-i 7,
mille lõikes 5 on volitusnorm viidatud määrusele.
Volitusnorm on ette nähtud §-s 7 sätestatud kohustuste
täitmise ja süsteemide küberturvalisuse tagamiseks.
Seega, kuna krediidiasutustele ei kohaldata §-i 7, ei ole
asjakohane ka määruse kohaldamine.
Lisaks on eelnõusse lisatud õigusselguse tagamiseks
muudatus, millega välistatakse ka hädaolukorra seaduse
§ 41 lõike 1 kohaldamine, milles on viited
küberturvalisuse seaduse § 7 ja 8 kohaldamisele.
16
teostamaks krediidiasutuse ja finantsturutaristu
järelevalvet. Tõsistest IKT-intsidentidest
teavitatakse ka RIA-t. Koostöösätetega tagatakse,
et FI teeb RIA-ga koostööd, mh seoses
finantsasutuste ohuteabel põhinevate
läbistustestimistega. Eesti naaberriigid (Läti,
Leedu, Soome ja Rootsi) käsitlevad DORA’t
finantssektori ettevõtjate suhtes kehtiva
valdkondliku liidu õigusaktina. Naaberriigid ei
näe ette finantssektori ettevõtjatele kohustust
vastata, lisaks DORA-le siseriiklikule või
rahvusvahelisele infoturbestandardile, kuna
DORA sätestab rangemad ja ühtsed valdkondlikud
reeglid. Ühtlasi ei ole naaberriikides audiitorid ega
sertifitseerimisasutused pädevad kontrollima
finantssektori ettevõtjate vastavust DORA
nõuetele vaid on üheselt täheldanud, et selliste
ettevõtjate üle teostab järelevalvet DORA’s
sätestatud pädev asutus.
1.2. Täiendus välistab kaasuvad riskid, tarbetu
korduse ja halduskoormuse DORA
kohaldamisalasse jäävate finantssektori ettevõtjate
suhtes teostab järelevalvet vaid artikli 31 alusel
määratud järelevalveasutus vastavalt kehtestatud
korrale. Eestis on selliseks pädevaks asutuseks FI
ja oluliste krediidiasutuste osas EKP. Seevastu E-
ITS-i ja ISO/IEC 27001 kohaselt teostaks
järelevalvet RIA ja audiitor vastavalt E-ITS-is või
ISO/IEC kohaselt kehtestatud nõuetele.
Siseriikliku või rahvusvahelise infoturbestandardi
audiitor või sertifitseerimisasutus ei ole pädev
teostama järelevalvet finantssektori ettevõtjate üle
küberturvalisuse valdkonnas. Kohaldades E-ITS-i
või alternatiivselt ISO/IEC 27001 nõudeid DORA
kohaldamisalasse jäävate finantssektori ettevõtjate
suhtes, on finantssektori ettevõtjad kohustatud
üheaegselt ning ühest ja samast küberturvalisuse
aspektist lähtuvalt:
1.3. täitma valdkondliku liidu õigusakti DORA ja
samaaegselt ka E-ITS-i või ISO/IEC 27001
nõudeid;
1.4. osalema nii valdkondliku liidu õigusakti
DORA alusel kui ka E-ITS-i või ISO/IEC 27001
standardi alusel teostatavatel audititel;
1.5. esitama auditite järeldusotsuseid nii
valdkondliku liidu õigusakti DORA alusel
määratud juhtivale järelevalveüksusele kui ka
RIA-le.
Täiendavate nõuete ja järelevalve kohaldamine ei
taga tõhusamat nõuete täitmist, järelevalvet ega
vastutuse jaotust. See võib kaasa tuua täiendavad
riskid digitaalse tegevuskerksuse ja
küberturvalisuse tagamisel finantssektoris.
Dubleerivad nõuded pole kooskõlas hea halduse
põhimõttega. Teised Euroopa Liidu liikmesriigid
ei näe finantssektori ettevõtjatele ette sarnaseid
dubleerivaid nõudeid.
FINANCE_ESTONIA
17
33.
FE
Ebaselgus seoses halduskaristuste laienemisega
DORA määruse4 artikli 19 lg-s 2 toodud
vabatahtliku raporteerimiskohustuse
täitmatajätmisele.
DORA määruse artikkel 19 näeb tõsistest IKT
intsidentidest teavitamise kohustuse kõrval ette ka
finantssektori ettevõtjate poolt vabatahtlikult
olulistest küberohtudest teavitamise võimaluse.
Seejuures viitab määruse artikli 19 pealkiri, selle lg
2, samuti määruse asjaomased põhjenduspunktid
(24) ja üldsätted (sh artikli 1 lg 1 punkt a alapunkt
ii), ning ka eelnõu enese seletuskiri läbivalt sellele,
et küberohtudest teavitamine finantssektori
ettevõtjate poolt toimub vabatahtlikkuse alusel.
Kuigi eelnõu kohaselt ei plaanita asjaomase
teavitamisvõimaluse kajastamisel eri
finantssektori ettevõtjate tegevust reguleerivates
eriseadustes (nt nagu krediidiasustuste seadus,
investeerimisfondide seadus, kindlustustegevuse
seadus jne) viidata selgelt vabatahtlikkusele, vaid
teavitamise vabatahtlikkusele viidatakse
mõnevõrra kaudsema sõnastusega („kui
[asjaomane finantssektori ettevõtja] otsustab
Euroopa Parlamendi ja nõukogu määruse (EL)
2022/2554 artikli 19 lõike 2 kohaselt teavitada /---
/“), on määruse mõte ja seega peaks olema ka
eelnõu mõte sätestada olulistest küberohtudest
teavitamine just võimaluse ja mitte kohustusena.
Sellest hoolimata on erinevate finantssektori
ettevõtjate tegevust reguleerivate õigusaktide
vastutust reguleerivate sätete muudatused eelnõu
kohaselt kavandatud selliselt, et halduskaristusi
digitaalse tegevuskerksuse nõuete rikkumise eest
on võimalik kohaldada ka DORA määruse artikli
19 lg-s 2 toodud vabatahtlikkuse alusel täidetava
raporteerimiskohustuse mittetäitmise korral,
täpsemalt hõlmavad vastavad vastutuse sätted muu
hulgas DORA määruse artikli 19 lg-d 1-5 s.t ka lg-
s 2 sätestatud vabatahtliku teavitamisvõimaluse.
On arusaadav, et DORA määruse mõttega on enim
kooskõlas ning selle eesmärke aitab parimal
võimalikul määral saavutada olukord, kus määruse
nõuetega hõlmatud finantssektori ettevõtjad
teavitavad pädevat asutust ka DORA määruse
artikli 19 lg-s 2 nimetatud olulistest küberohtudest.
Teisalt näeb DORA määrus vastava teavitamise
(erinevalt olulistest IKT intsidentidest
teavitamisele) selgelt ette vabatahtlikuna, mistõttu
ei ole võrdväärsete halduskaristuste kohaldamise
võimaluse ettenägemine kõnealuse vabatahtliku
teavitamisvõimaluse mittekasutamise puhul
ebaloogiline ning ka ebaproportsionaalne.
Võimalik, et eelnõu ettevalmistajate eesmärgiks on
olnud võimaliku sanktsioneeritava kohustusena
määruse artikli 19 lg 2 kontekstis hõlmata vaid see,
Arvestatud Nõustume, et karistuste ulatusse ei peaks jääma
vabatahtlik teavitamiskohustus. Eelnõu on vastavalt
korrigeeritud.
4 Euroopa Parlamendi ja nõukogu määrus (EL) 2022/2554, mis käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse
määrusi (EÜ) nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011
18
kui asjaomane finantssektori ettevõtja teavitab
vabatahtlikult oluliselt küberohust
Finantsinspektsiooni, kuid jätab seejuures täitmata
kohustuse edastada teavitus ka Riigi
Infosüsteemide Ametile, siis kõnealusel juhul see
plaanitavate sätete sõnastusest ega ka seaduse
seletuskirjast meie hinnangul piisavalt selgelt välja
ei tule. Seetõttu soovitame kaaluda määruse artikli
19 lg-s 2 viidatud kohustuse välja jätmist
asjaomastest vastutuse sätetest või kajastada
vähemalt seaduse seletuskirjas selgelt, et vastavate
sätete eesmärgiks ei ole sanktsioneerida vastava
vabatahtliku raporteerimisvõimaluse
kasutamatajätmist. Vastasel korral ei ole antud
raporteerimisvõimalus sanktsiooni kohaldamise
võimaluse läbi vabatahtlik, vaid kohustuslik.
EESTI KINDLUSTUSSELTSIDE LIIT
34.
EKsL
1) KindlTS § 138. Kindlustusandja
ümberkujundamine
Paragrahvile soovitakse lisada uus lõige, mille
kohaselt ei ole kindlustusandjate piiriülene
ümberkujundamine lubatud. Piiriülene
ümberkujundamine tähendab, et Eesti äriühingu
saab ümber kujundada lepinguriigi äriühinguks.
Arvestades, et finantssektoris teenuse osutamiseks
peab isikul olema tegevusluba, mille ta saab
asukoha finantsjärelevalve asutuselt, ei ole
tarbijakaitse seisukohast asjakohane olukord, kus
kindlustusandja viib tegevuse ja
kindlustusportfelli üle teise lepinguriiki, kus tal
puudub vastava lepinguriigi finantsjärelevalve
asutuse luba selles riigis kindlustusteenuse
osutamiseks. Samas ei ole tal võimalik
tegevusluba taotleda, kui ta on alles Eesti
registrisse kuuluv äriühing. Seega
kindlustusvõtjate ja kindlustatute kaitse
seisukohast ei ole võimalik tagada, et piiriülese
ümberkujundamise korral oleks viidatud isikute
huvid piisavalt kaitstud. Alternatiiv on asutada
lepinguriigis uus kindlustusandja, kellega Eesti
kindlustusandja ühineb või kellele Eesti
kindlustusandja annab kindlustusportfelli üle.
Sellisteks olukordadeks näeb KindlTS ette ka
vastava regulatsiooni klientide kaitseks. Euroopa
Parlamendi ja Nõukogu Direktiiv (EL)
2019/2121, millega muudetakse direktiivi (EL)
2017/1132 seoses äriühingute piiriülese
ümberkujundamise, ühinemise ja jagunemisega
põhjenduspunkti 57 kohaselt ei tohiks viidatud
direktiiv mõjutada liidu õiguse kohaldamist, mis
reguleerib krediidivahendusettevõtjaid ja teisi
finantsettevõtjaid, ega vastavalt kõnealusele liidu
õigusele kehtestatud liikmesriigi õigusnormide
kohaldamist. Kindlustustegevust reguleeriva
Euroopa Parlamendi ja nõukogu direktiivi
2009/138/EÜ peaeesmärk on kindlustusvõtjate ja
soodustatud isikute asjakohane kaitse
(põhjenduspunkt 14). Seega on kindlustusandjate
piiriülese ümberkujundamise piirang kooskõlas
Selgitatud Eelnõusse on lisatud täpsustus, et keeldu ei kohaldata
Euroopa Äriühingust kindlustusandjate
ümberkujundamisele.
Nagu ka seletuskirjas on osutatud, ei ole meie
hinnangul Euroopa Liidu õigusega kooskõlas
lähenemine, mille kohaselt liigutakse
kindlustustegevusega teise lepinguriiki, omamata seal
tegevusluba. Kindlustusandjal ei ole võimalik omada
kahes riigis samaaegselt tegevusluba. Teise riiki
liikumisel tuleks Eesti tegevusluba kehtetuks
tunnistada, aga mis saab sellisel juhul
kindlustuslepingutest ja lepingutest tulenevate
kohustuste täitmisest? Tegevusluba ei liigu koos
äriühinguga automaatselt teise liikmesriiki.
19
eelnimetatud direktiivi põhimõttega, et tagada
tuleb kindlustusvõtjate ja soodustatud isikute
kaitse.
EKsL-i hinnangul ei ole lisatava kitsenduse
põhjus selge ja lisaks ei ole selge selle kitsenduse
kooskõla EU määruse nr 2157 /2001 ja Euroopa
Liidu Nõukogu määruse (EÜ) nr 2157/2001
«Euroopa äriühingu (SE) põhikirja kohta»
rakendamise seaduse nõuetega. Kindlustusandja
tegevuse üleviimisel teise lepinguriiki on
eelduslikult kaasatud mõlema lepinguriigi
järelevalveasutused, kes võivad portfelli
üleviimisele seada lisatingimusi/kõrvaltingimusi,
tagamaks kindlustusvõtjate kaitse uues
tegevuskohas vähemalt samaväärses ulatuses kui
seda oli endises ettevõtte asukohas. Võttes arvesse
eeltoodut jääb ebaselgeks lisatava kitsenduse
vajalikkus.
35. 2) KindlTS § 2571.
Digitaalse tegevuskerksuse nõuete rikkumine
Seadust soovitakse täiendada uue
karistusnormiga, mida Finantsinspektsioon saab
kohaldada DORA määruses sätestatud nõuete
rikkumise korral. Nimelt on DORA määruse
artikli 50 lõikes 3 sätestatud, et liikmesriigid
kehtestavad õigusnormid, milles sätestatakse
asjakohased halduskaristused ja
parandusmeetmed määruse rikkumise puhuks,
ning tagavad nende tulemusliku rakendamise.
Sama artikli lõikes 4 punktis c on sätestatud, et
liikmesriigid annavad pädevatele asutustele
õiguse võtta mis tahes liiki meetmeid, sealhulgas
rahalisi meetmeid, tagamaks, et finantssektori
ettevõtjad jätkavad õigusnormide järgimist.
Eelnõuga nähakse ette, et füüsilise isiku korral on
võimalik karistada rahatrahviga kuni 5 000 000
eurot või kuni kahekordse väärteo tulemusel
teenitud kasule või ära hoitud kahjule vastavas
summas ning juriidilise isiku korral karistatakse
rahatrahviga kuni 5 000 000 eurot või kuni
kahekordse väärteo tulemusel teenitud kasule või
ära hoitud kahjule vastavas summas või kuni
kümme protsenti juriidilise isiku või tema
konsolideerimisgrupi konsolideeritud käibest.
Uue planeeritava paragrahvi lõike 1 sõnastuses
on viidatud järgmistele DORA määruse nõuete
rikkumistele:
- art 5–14: IKT- riski juhtimine;
-art 16–18, art 19 lõiked 1–5: IKT intsidentide
haldamine ja liigitamine ning nendest
teavitamine;
- art 24, 25, art 27 lõiked 1–8: digitaalse
tegevuskerksuse testimine;
- art 28 lõiked 1–8, art 29, art 30 lõiked 1–4:
kolmandast isikust tuleneva IKT-riski juhtimine; -
Selgitatud Karistusmäärade kehtestamisel on lähtutud
finantssektorile kohalduvatest kehtivatest
karistusmääradest ja karistuse määramise alustest, mis
nähti ette finantsvaldkonna väärteokaristuse reformiga.
Siiski oli eelnõus ekslikult füüsilise isiku
karistusmääraks 5 000 000 eurot, kuid see peaks olema
700 000 eurot, et karistus oleks samaväärne §-s 257
sätestatud juhtimissüsteemi nõuete rikkumise
määradega ja selle määramise alustega.
Finantsvaldkonna väärteokaristuse reformi selgitused
on Riigikogu lehelt leitava eelnõu SE111 juures5.
Näiteks analüüsiti viidatud eelnõu koostamisel, kas
kõrgema ülemmääraga rahatrahvide kohaldamine oleks
põhjendatud ka KindlTS-s sätestatud kohustuse
rikkumise eest, mis otseselt EL õigusaktiga ette ei
nähta. Siinkohal kaaluti süüteo tagajärgede tõsidust,
mille järgi asuti seisukohale, et teatud juhtudel on
klientide huvide kaitse vajadus oluliselt suurem, kui
olemasolevast sanktsioonist eeldada võib. Sealjuures
võeti arvesse, et karistus oleks võrreldav samaväärse
rikkumise eest ette nähtud karistusmääraga teistes
finantsvaldkonna õigusaktides. Suur osa EL
õigusaktidest näevad ette finantsjärelevalve subjektide
tegevusnõete rikkumise eest kuni 5 miljoni euro
suuruse rahatrahvi. Seetõttu nähti ka kindlustusandjate
suhtes ette kohaldatav rahatrahv samas suurusjärgus.
Arvestades, et kindlustusandjad töötlevad mh kliendi
terviseandmeid, on äärmisel oluline, et nii klientide
teabevara kui ka finantsvara on kaitstud ja
kindlustusandja järgib selle tagamiseks nõuetekohaselt
digitaalse tegevuskerksuse nõudeid. Lisame siia
võrdluseks, et isikuandmete kaitse seaduse § 65
kohaselt on isikuandmete töötlemise nõuete rikkumise
eest rahatrahv 20 000 000 eurot.
5 https://www.riigikogu.ee/tegevus/eelnoud/eelnou/aece8f34-146c-41f6-b3fd-90402dfdd470/audiitortegevuse-seaduse-
finantskriisi-ennetamise-ja-lahendamise-seaduse-ning-teiste-seaduste-muutmise-seadus-finantsvaldkonna-vaarteokaristuste-
reform-eli-oigusest-tulenevad-karistused
20
art 42 lg 3: kolmanda isikuga seotud riskide
arvesse võtmine EKsL soovib teada, et miks just
selliseid trahvimäärasid peetakse tulemuslikeks,
proportsionaalseks ja hoiatavateks?
Kuidas suhestuvad antud karistusmäärad Euroopa
Liidu teiste liikmesriikide (sh Eesti lähiriikide)
poolt rakendatavatesse karistusmääradesse
samalaadsete tegude eest ja kuidas on hinnatud
vastavate karistusmäärade proportsionaalsust
Eesti kindlustusturu mahu suhtes?
Kuna DORA nõuded integreeritakse kehtivatesse liidu
õigusaktidesse, võib eeldada, et ka teistes
liikmesriikides ette nähtud karistusmäärad on
samaväärsed juba kehtivate määradega, mis on ette
nähtud juhtimissüsteemi nõuete rikkumise puhul.
EESTI KAUBANDUS-TÖÖSTUSKODA
36. Eelnõu § 4 p 10, § 5 p 14, § 7 p 10, § 8 p 19, § 9 p
8, § 10 p 24 kohaselt võib haldustrahv olla summas
kuni 5 000 000 eurot või kuni kahekordse väärteo
tulemusel teenitud kasule või ära hoitud kahjule
vastavas summas või kuni kümme protsenti
juriidilise isiku või tema konsolideerimisgrupi
konsolideeritud käibest. Füüsilise isiku puhul on
võimalik karistada rahatrahviga kuni 5 000 000
eurot või kuni kahekordse väärteo tulemusel
teenitud kasule või ära hoitud kahjule vastavas
summas.
Seega eelnõu koostajad on ette näinud mitmeid
alternatiivseid karistusi. Eelnõu ja seletuskirjaga
tutvudes ei hakanud silma juhiseid ega
kriteeriume, mille alusel järelevalveasutus
otsustab, millist karistust määrata. Näiteks jääb
ebaselgeks, millal määratakse rahatrahv 5 miljonit
eurot ja millal lähtutakse põhimõttest, et
haldustrahv võib olla kuni 10 % juriidilise isiku või
tema konsolideerimisgrupi konsolideeritud
käibest.
Leiame, et seletuskirja või eelnõu sätteid tuleks
selles osas täiendada, et oleks nii
järelevalveasutusele kui ka finantsasutusele
selgem, mille alusel otsustab järelevalveasutus,
millist trahvi määramise skeemi kasutada. Samuti
tekkis meil küsimus, kuidas eeltoodud
karistusmäärad suhestuvad Euroopa Liidu teiste
liikmesriikidega. Palume seletuskirja selles osas
täiendada ja täpsustada, et tekiks võrdlus Eesti ja
teiste liikmesriikide karistusmäärade osas.
Selgitatud Selgitame, et karistusnormide sätestamisel on lähtutud
kehtivatest finantssektori karistusmääradest ja karistuste
määramise alustest. Finantssektori karistusnormid on
suures osas reguleeritud liidu õiguses, kus on ette nähtud
analoogsed meetmed (alternatiivid) karistuse
rakendamiseks. Eelnõu eesmärk on näha ette ühetaoline
lähenemine, sh trahvimäärade osas. Kuna DORA
nõuded integreeritakse DORA direktiiviga vastavatesse
finantssektori õigusaktidesse, on ka eelnõu puhul
tagatud, et DORA nõuete rikkumise eest ette nähtud
karistused oleksid kooskõlas vastavates liidu
õigusaktides ette nähtud karistussätetega.
Näiteks VpTS uue paragrahvi puhul on võetud aluseks
direktiivi 2014/65/EL artikli 70 lõike 3 punkti a
alapunktid iv, v, xxvii ja xxviii ning lõike 6 punktid f–g.
DORA direktiivi kohaselt muudetakse 2014/65/EL
direktiivi artikleid 16 ja 17 ning 47 ja 48 nii, et sinna
lisatakse viited DORA nõuete rakendamisele. Kuna
direktiivi 2014/65/EL artikli 70 lõike 3 punkti a
alapunktid viitavad nende artiklite rikkumistele, hõlmab
see ühtlasi DORA nõuete rikkumist.
KAS uue paragrahvi puhul on võetud aluseks
2013/36/EL direktiivi artikli 67 lõike 1 punkt d ja lõike
2 punktid e–g. DORA direktiivi kohaselt muudetakse
2013/36/EL direktiivi artiklit 74 nii, et sinna lisatakse
viide DORA nõuete rakendamisele. Kuna 2013/36/EL
direktiivi artikli 66 lõike 1 punkt d viitab artikli 74
rikkumisele, hõlmab see ühtlasi DORA nõuete
rikkumist.
IFS uue paragrahvi puhul on võetud aluseks 2009/65/EÜ
direktiivi artikli 99 lõike 6 punktid e–g ja artikli 99a
punkt j. DORA direktiivi kohaselt muudetakse
2009/65/EÜ direktiivi artiklit 12 nii, et sinna lisatakse
viide DORA nõuete rakendamisele. Kuna 2009/65/EÜ
direktiivi artikli 99a punkt j viitab artikli 12 rikkumisele,
hõlmab see ühtlasi DORA nõuete rikkumist.
Seega on nö alternatiivsed karistused ette nähtud ka EL
õiguses. Näiteks võib fikseeritud rahatrahvimäär
osutuda vajalikuks olukorras, kus käibepõhiselt
arvutatav rahatrahv ei oleks rikkumise iseloomu ja
ulatust arvestades proportsionaalne, seda eelkõige juhul,
kui subjekt on tegutsenud alla aasta. Kehtiv FIS § 5
sätestab Finantsinspektsiooni tegevuse põhimõtted.
Selle lõige 2 näeb ette, et inspektsiooni
21
järelevalvetoimingute sagedus ja rakendatavad meetodid
arvestavad finantsjärelevalve subjekti suurust, tegevuse
mõju finantssüsteemile ning tegevuse laadi, ulatust ja
keerukust, lähtudes proportsionaalsuse põhimõttest.
Inspektsioon arvestab karistuse kohaldamisel riskide ja
võimaliku rikkumise iseloomu, kestust ja korduvust,
järelevalvesubjekti majanduslikku võimekust, tekkinud
või tekkida võinud kahjude suurust ning võimalikku
mõju finantssüsteemi stabiilsusele. Sisuliselt sätestab
antud säte proportsionaalsuse printsiibi, mis on
finantsjärelevalves üks peamistest põhimõtetest.
Märkuses on esitatud ka küsimus, kuidas karistusmäärad
suhestuvad Euroopa Liidu teiste liikmesriikidega. Nagu
eespool osutatud, on karistusmäärade aluseks EL õigus,
mistõttu võiks eeldada, et trahvimäärad ja nende
määramise alused on kooskõlas teiste liikmesriikide
karistustega.
37. Eelnõu § 4 p 7, § 5 p 6, § 7 p 5, § 8 p 16, § 9 p 3, §
10 p 11 ja p 19 tuleneb finantsasutustele kohustus
teavitada ühekordse edastamisviisiga nii
Finantsinspektsiooni kui ka Riigi Infosüsteemi
Ametit (RIA) tõsistest info- ja
kommunikatsioonitehnoloogiaga seotud
intsidentidest ning soovi korral olulistest
küberohtudest kasutades selleks sama
teavitusvormi. Eelnõu § 4 p 10, § 5 p 14, § 7 p 10,
§ 8 p 19, § 9 p 8 ning § 10 p 24 näevad ette, et kui
finantsasutus rikub eelnevalt nimetatud kohustust,
siis on järelevalveasutusel õigus kohaldada
rahatrahvi. Mõistame, et eelnõu ei näe ette
finantsasutuste karistamist olukorras, kus
finantsasutus ei teavita soovi korral olulistest
küberohtudest. Samas seletuskirjas ei ole seda
selgelt välja toodud.
Seega Kaubanduskoda palub eelnõu koostajatel
seletuskirja täiendada selliselt, et finantsasutust ei
karistata, kui ta ei täida eelnõu sätestatud võimalust
teavitada olulisest küberohust.
Arvestatud Kinnitame, et eelnõu eesmärk ei ole ette näha karistust
olulisest küberohust teavitamise nõuete rikkumise
korral, kuivõrd tegemist on ettevõtja valikuvabadusega
otsustada, kas ta edastab vastava teavituse FI-le ja RIA-
le või mitte. Selguse huvides on eelnõus vastutuse sätteid
korrigeeritud ja koosseisudest välja jäetud viide artikli
19 lõikele 2.
|
Digiallkirjad
1
EELNÕU
Finantsinspektsiooni seaduse ja teiste seaduste muutmise seadus
§ 1. Finantsinspektsiooni seaduse muutmine
Finantsinspektsiooni seaduses tehakse järgmised muudatused:
1) paragrahvi 6 lõiget 1 täiendatakse punktiga 75 järgmises sõnastuses:
„75) täita Euroopa Parlamendi ja nõukogu määrusest (EL) 2022/2554, mis käsitleb
finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ) nr 1060/2009,
(EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (ELT L 333,
27.12.2022, lk 1–79), tulenevaid ülesandeid ja teha küberturvalisuse valdkonnas koostööd Eesti
ja teiste liikmesriikide küberturvalisuse pädevate asutustega;“;
2) paragrahvi 46 täiendatakse lõikega 10 järgmises sõnastuses:
„(10) Inspektsioon osaleb Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artiklis 32
sätestatud järelevaatamisfoorumi töös ning teavitab sellest sama määruse artikli lõike 5 kohaselt
juhtivat järelevaatamisasutust.“;
3) paragrahvi 47 lõike 12 punktis 4 asendatakse tekstiosa „Euroopa Parlamendi ja nõukogu
määruses (EL) nr 575/2013 krediidiasutuste ja investeerimisühingute suhtes kohaldatavate
usaldatavusnõuete kohta ja määruse (EL) nr 648/2012 muutmise kohta (ELT L 176,
27.06.2013, lk 1–337)“ tekstiosaga „Euroopa Parlamendi ja nõukogu määruses (EL)
nr 575/2013, mis käsitleb krediidiasutuste suhtes kohaldatavaid usaldatavusnõudeid ja millega
muudetakse määrust (EL) nr 648/2012 (ELT L 176 27.06.2013, lk 1)“;
4) seadust täiendatakse §-ga 4711 järgmises sõnastuses:
„§ 4711. Koostöö küberturvalisuse valdkonnas
(1) Inspektsioon teeb koostööd Riigi Infosüsteemide Ametiga. Koostöö sisaldab muu hulgas
järgmist:
1) Riigi Infosüsteemide Ametiga konsulteerimine Euroopa Parlamendi ja nõukogu määruse
(EL) 2022/2554 artikli 42 lõike 5 kohaselt;
2) Riigi Infosüsteemide Ametilt tehnilise nõu ja abi küsimine ning koostöökokkuleppe
sõlmimine, seda eelkõige kooskõlas Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554
artikli 47 lõigetega 3 ja 4;
3) teabe vahetamine Inspektsiooni ja Riigi Infosüsteemide Ameti vahel, sealhulgas
küberintsidentide ja küberohtude kohta ning küsimustes, mis puudutavad elutähtsaid teenuseid
osutavaid finantsjärelevalve subjekte;
4) koostöö koordineerimine seoses finantsjärelevalve subjektide digitaalse tegevuskerksuse
süvatestimisega.
(2) Inspektsioon teeb asjakohasel juhul koostööd teise lepinguriigi küberturvalisuse järelevalve
eest vastutava pädeva asutusega, seda eelkõige Euroopa Parlamendi ja nõukogu määruse (EL)
2022/2554 artikli 42 lõike 5 kohasel konsulteerimisel.
(3) Kui Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artikli 19 lõikes 4 nimetatud
teate ja raportid esitab Inspektsioonile hädaolukorra seaduse § 38 lõikes 1 sätestatud elutähtsa
teenuse osutaja, edastab Inspektsioon teate ja raportid viivitamata Eesti Pangale.
2
(4) Inspektsiooni koostöö Euroopa Pangandusjärelevalve Asutuse, Euroopa
Väärtpaberiturujärelevalve Asutuse, Euroopa Kindlustus- ja Tööandjapensionide Järelevalve
Asutuse ning Euroopa Keskpangaga sisaldab lisaks käesolevas peatükis sätestatule Euroopa
Parlamendi ja nõukogu määruse (EL) 2022/2554 artikli 48 lõikes 2 ning artikli 49 lõikes 2
sätestatud koostööd ja teabevahetust.“;
5) paragrahvi 54 lõiget 4 täiendatakse punktiga 12 järgmises sõnastuses:
„12) Riigi Infosüsteemi Ametile Euroopa Parlamendi ja nõukogu määruses (EL) 2022/2554 ja
käesoleva seaduse §-s 4711 sätestatud koostöö ulatuses.“;
6) paragrahvi 542 täiendatakse lõikega 4 järgmises sõnastuses:
„(4) Euroopa Parlamendi ja nõukogu määruses (EL) 2022/2554 sätestatud
järelevalvemenetlustes töödeldud isikuandmeid säilitatakse nimetatud määruse artiklis 56
sätestatu kohaselt.“.
§ 2. Finantskriisi ennetamise ja lahendamise seaduse muutmine
Finantskriisi ennetamise ja lahendamise seaduses tehakse järgmised muudatused:
1) paragrahvi 2 lõikes 2 asendatakse tekstiosa „Euroopa Parlamendi ja nõukogu määruse (EL)
nr 575/2013 krediidiasutuste ja investeerimisühingute suhtes kohaldatavate usaldatavusnõuete
kohta ja määruse (EL) nr 648/2012 muutmise kohta (ELT L 176, 27.06.2013, lk 1–337)“
tekstiosaga „Euroopa Parlamendi ja nõukogu määruse (EL) nr 575/2013, mis käsitleb
krediidiasutuste suhtes kohaldatavaid usaldatavusnõudeid ja millega muudetakse määrust (EL)
nr 648/2012 (ELT L 176 27.06.2013, lk 1)“;
2) paragrahvi 11 lõike 1 punkt 16 muudetakse ja sõnastatakse järgmiselt:
„16) korda ja meetmeid, mis on vajalikud krediidiasutuse tegevusprotsesside jätkuvaks
pidevaks toimimiseks, sealhulgas Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554,
mis käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ)
nr 1060/2009, (EL) nr 648/2012 ja (EL) nr 600/2014 (ELT L 333, 27.12.2022, lk 1–79),
kohaselt loodud ja hallatavate võrgu- ja infosüsteemide toimimiseks;“;
3) paragrahvi 28 lõiget 5 täiendatakse punktidega 141 ja 142 järgmises sõnastuses:
„141) Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artikli 3 punktis 23 nimetatud
kriitilise tähtsusega kolmandast isikust info- ja tehnoloogiateenuse osutaja andmed;
142) Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 IV peatüki kohased digitaalse
tegevuskerksuse testimise tulemused;“;
4) paragrahvi 29 lõike 1 punktis 5 asendatakse tekstiosa „tegevuse jätkumine“ tekstiosaga
„tegevuse jätkumine ja digitaalne tegevuskerksus“;
5) paragrahvi 29 lõike 1 punktis 8 asendatakse tekstiosa „süsteemide kirjeldus“ tekstiosaga
„süsteemide kirjeldus, sealhulgas küberturvalisuse seaduse § 2 punktis 1 sätestatud võrgu- ja
infosüsteemide kirjeldus“;
6) paragrahvi 33 lõike 4 punkt 4 muudetakse ja sõnastatakse järgmiselt:
„4) krediidiasutuse teenuslepingute, sealhulgas info- ja kommunikatsioonitehnoloogia teenuse
osutamisega seotud lepingute püsivus ja täielikult täitmisele pööratavus krediidiasutuse
kriisilahendusmenetluse korral;“;
7) paragrahvi 33 lõiget 4 täiendatakse punktiga 41 järgmises sõnastuses:
3
„41) kriitilisi funktsioone ja põhiäriliine toetavate võrgu- ja infosüsteemide digitaalne
tegevuskerksus, võttes arvesse Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554
artiklis 19 sätestatud teavitusi tõsistest info- ja kommunikatsioonitehnoloogiaga seotud
intsidentidest, kui see on asjakohane, ja määruse IV peatüki kohase digitaalse tegevuskerksuse
testimise tulemusi;“;
8) seaduse normitehnilist märkust täiendatakse pärast tekstiosa „muudetud direktiiviga (EL)
2019/879 (ELT L 150, 07.06.2019, lk 296–344)“ tekstiosaga „ja (EL) 2022/2556 (ELT L 333,
27.12.2022, lk 153–163)“.
§ 3. Hoiu-laenuühistu seaduse muutmine
Hoiu-laenuühistu seadust täiendatakse §-ga 21 järgmises sõnastuses:
„§ 21. Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 kohaldamata jätmine
Hoiu-laenuühistule ei kohaldata Euroopa Parlamendi ja nõukogu määrust (EL) 2022/2554, mis
käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ)
nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (ELT
L 333, 27.12.2022, lk 1–79).“.
§ 4. Investeerimisfondide seaduse muutmine
Investeerimisfondide seaduses tehakse järgmised muudatused:
1) paragrahvi 12 lõike 1 punktis 1 asendatakse tekstiosa „Euroopa Parlamendi ja nõukogu
määruse (EL) nr 575/2013 krediidiasutuste ja investeerimisühingute suhtes kohaldatavate
usaldatavusnõuete kohta ja määruse (EL) nr 648/2012 muutmise kohta (ELT L 176/1,
27.06.2013)“ tekstiosaga „Euroopa Parlamendi ja nõukogu määruse (EL) nr 575/2013, mis
käsitleb krediidiasutuste suhtes kohaldatavaid usaldatavusnõudeid ja millega muudetakse
määrust (EL) nr 648/2012 (ELT L 176 27.06.2013, lk 1)“;
2) paragrahvi 223 lõikes 2 asendatakse tekstiosa „§-des 310–312, 342, 354“ tekstiosaga „§-
des 310–312 ja 342, § 345 lõigetes 1–4, §-des 3451 ja 354“;
3) paragrahvi 223 täiendatakse lõikega 5 järgmises sõnastuses:
„(5) Käesoleva seaduse § 345 lõikes 11 ja §-s 3451 sätestatut ei kohaldata määratud
väljamaksetega tööandja pensionifondi suhtes, kui pensioniskeemiga on hõlmatud vähem kui
15 isikut.“;
4) paragrahvi 344 lõike 3 punkt 3 muudetakse ja sõnastatakse järgmiselt:
„3) nõuded info- ja kommunikatsioonitehnoloogilise korralduse, infoturbe tagamise ja
talitluspidevuse kohta, mis peavad asjakohasel juhul olema kooskõlas Euroopa Parlamendi ja
nõukogu määruses (EL) 2022/2554, mis käsitleb finantssektori digitaalset tegevuskerksust ning
millega muudetakse määrusi (EÜ) nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL)
nr 909/2014 ja (EL) 2016/1011 (ELT L 333, 27.12.2022, lk 1–79), sätestatud info- ja
kommunikatsioonitehnoloogia riskide juhtimise nõuetega;“;
5) paragrahvi 345 pealkiri muudetakse ja sõnastatakse järgmiselt:
„§ 345. Teabe töötlemine ja säilitamine, digitaalse tegevuskerksuse tagamine ning
eurofondi arvel tehtud tehingute registreerimine ja salvestamine
andmetöötlussüsteemis“;
4
6) paragrahvi 345 täiendatakse lõikega 11 järgmises sõnastuses:
„(11) Fondivalitseja järgib Euroopa Parlamendi ja nõukogu määruses (EL) 2022/2554
sätestatud nõudeid, sealhulgas kasutab ja haldab käesoleva paragrahvi lõikes 1 sätestatu
tagamiseks ning äriprotsesside toetamiseks võrgu- ja infosüsteeme määruses sätestatu kohaselt.
Pensionifondi valitseja suhtes kohaldatakse määruse (EL) 2022/2554 artiklites 3–18, artikli 19
lõigetes 1–5, artikli 22 lõikes 1, artiklites 24–30 ning artiklis 45 sätestatut.“;
7) seadust täiendatakse §-ga 3451 järgmises sõnastuses:
„§ 3451. Intsidendist ja küberohust teavitamine
(1) Fondivalitseja teavitab tõsisest info- ja kommunikatsioonitehnoloogiaga seotud intsidendist
Finantsinspektsiooni ning Riigi Infosüsteemi Ametit Euroopa Parlamendi ja nõukogu määruse
(EL) 2022/2554 artiklis 19 sätestatu kohaselt.
(2) Fondivalitseja kasutab käesoleva paragrahvi lõikes 1 sätestatud juhul esialgse teate ja
raportite edastamisel Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artikli 20 alusel
kehtestatud teavitusvorme ja lähtub kehtestatud tähtaegadest, välja arvatud juhul, kui tehnilistel
põhjustel ei ole võimalik esialgset teadet edastada asjakohast vormi kasutades.
(3) Kui fondivalitseja otsustab Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artikli
19 lõike 2 kohaselt teavitada Finantsinspektsiooni olulisest küberohust, edastab fondivalitseja
teavituse ühtlasi Riigi Infosüsteemi Ametile.“;
8) paragrahvi 3631 täiendatakse lõikega 3 järgmises sõnastuses:
„(3) Tööandja pensionifondi valitseja suhtes ei kohaldata käesoleva seaduse § 345 lõikes 11 ja
§-s 3451 sätestatut, kui fondi kuulub vähem kui 15 osakuomanikku.“;
9) paragrahvi 455 täiendatakse lõikega 32 järgmises sõnastuses:
„(32) Finantsinspektsioonil on Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 nõuete
kohase täitmise üle järelevalve teostamisel kõik nimetatud määruses, käesolevas seaduses ja
Finantsinspektsiooni seaduses sätestatud õigused. Finantsinspektsioon avalikustab oma
veebilehel nimetatud määruses (EL) 2022/2554 sätestatud kohustuse rikkumise eest tehtud
otsuse määruse artiklis 54 sätestatu kohaselt.“;
10) seaduse 31 peatüki 1. jagu täiendatakse §-ga 5034 järgmises sõnastuses:
„§ 5034. Digitaalse tegevuskerksuse nõuete rikkumine
(1) Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artiklites 5–14, 16–18, artikli 19
lõigetes 1 või 3–5, artiklites 24 või 25, artikli 26 lõigetes 1–8, artiklis 27, artikli 28 lõigetes 1–
8, artiklis 29, artikli 30 lõigetes 1–4 või artikli 42 lõikes 3 sätestatud nõuete rikkumise eest –
karistatakse rahatrahviga kuni 5 000 000 eurot või kuni kahekordses väärteo tulemusel teenitud
kasule või ära hoitud kahjule vastavas summas.
(2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 5 000 000 eurot või kuni kahekordses väärteo tulemusel teenitud
kasule või ära hoitud kahjule vastavas summas või kuni kümme protsenti juriidilise isiku või
tema konsolideerimisgrupi konsolideeritud käibest.“;
11) seaduse normitehnilise märkuse tekstiosa „ja 2013/14/EL (ELT L 145, 31.05.2013, lk 1–
3)“ asendatakse tekstiosaga „, 2013/14/EL (ELT L 145, 31.05.2013, lk 1–3) ja (EL) 2022/2556
(ELT L 333, 27.12.2022, lk 153–163)“;
5
12) seaduse normitehnilist märkust täiendatakse pärast tekstiosa „(ELT L 354, 23.12.2016,
lk 37–85)“ tekstiosaga „, muudetud direktiiviga (EL) 2022/2556 (ELT L 333, 27.12.2022, lk
153–163)“.
§ 5. Kindlustustegevuse seaduse muutmine
Kindlustustegevuse seaduses tehakse järgmised muudatused:
1) paragrahvi 38 lõike 2 punkt 5 muudetakse ja sõnastatakse järgmiselt:
„5) äriseadustiku § 386 lõike 2 punktides 1 ja 5 nimetatud andmed ja dokumendid;“;
2) paragrahvi 38 lõiget 2 täiendatakse punktiga 51 järgmises sõnastuses:
„51) äriühingu põhikirja või ühingulepingu asukohariigi seaduste kohaselt tõestatud ärakiri, kui
põhikiri või ühinguleping tuleb registrile esitada ka ühingu asukohariigis;“;
3) paragrahvi 87 lõikes 9 asendatakse tekstiosa „Euroopa Parlamendi ja nõukogu määruse (EL)
nr 575/2013 krediidiasutuste ja investeerimisühingute suhtes kohaldatavate usaldatavusnõuete
kohta ja määruse (EL) nr 648/2012 muutmise kohta (ELT L 176, 27.06.2013, lk 1–337)"
tekstiosaga „Euroopa Parlamendi ja nõukogu määruse (EL) nr 575/2013, mis käsitleb
krediidiasutuste suhtes kohaldatavaid usaldatavusnõudeid ja millega muudetakse määrust (EL)
nr 648/2012 (ELT L 176 27.06.2013, lk 1),“;
4) paragrahvi 96 täiendatakse lõikega 71 järgmises sõnastuses:
„(71) Kindlustusandja järgib Euroopa Parlamendi ja nõukogu määruses (EL) 2022/2554, mis
käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ)
nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (ELT
L 333, 27.12.2022, lk 1–79), sätestatud nõudeid, sealhulgas kasutab ja haldab võrgu- ja
infosüsteeme määruses sätestatu kohaselt.“;
5) paragrahvi 105 lõike 2 punkt 2 muudetakse ja sõnastatakse järgmiselt:
„2) nõuded info- ja kommunikatsioonitehnoloogilise korralduse, infoturbe tagamise ja
talitluspidevuse kohta, mis peavad olema kooskõlas Euroopa Parlamendi ja nõukogu määruses
(EL) 2022/2554 sätestatud info- ja kommunikatsioonitehnoloogia riskide juhtimise nõuetega;“;
6) seadust täiendatakse §-ga 1051 järgmises sõnastuses:
„§ 1051. Intsidendist ja küberohust teavitamine
(1) Kindlustusandja teavitab tõsisest info- ja kommunikatsioonitehnoloogiaga seotud
intsidendist Finantsinspektsiooni ja Riigi Infosüsteemi Ametit Euroopa Parlamendi ja nõukogu
määruse (EL) 2022/2554 artiklis 19 sätestatu kohaselt.
(2) Kindlustusandja kasutab käesoleva paragrahvi lõikes 1 sätestatud juhul esialgse teate ja
raportite edastamisel Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artikli 20 alusel
kehtestatud teavitusvorme ja lähtub kehtestatud tähtaegadest, välja arvatud juhul, kui tehnilistel
põhjustel ei ole võimalik esialgset teadet edastada asjakohast vormi kasutades.
(3) Kui kindlustusandja otsustab Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554
artikli 19 lõike 2 kohaselt teavitada Finantsinspektsiooni olulisest küberohust, edastab
kindlustusandja teavituse ühtlasi Riigi Infosüsteemi Ametile.“;
7) paragrahvi 138 tekst loetakse lõikeks 1 ja paragrahvi täiendatakse lõikega 2 järgmises
sõnastuses:
6
„(2) Kindlustusandja, välja arvatud Euroopa äriühingust kindlustusandja, piiriülene
ümberkujundamine ei ole lubatud.“;
8) paragrahvi 175 lõike 1 sissejuhatavas lauseosas asendatakse tekstiosa „§ 181 lõikeid 1 ja 6“
tekstiosaga „§ 181 lõikeid 1 ja 6, § 1811“;
9) paragrahvi 179 lõike 1 punkt 2 muudetakse ja sõnastatakse järgmiselt:
„2) kindlustussumma on vähemalt 1 564 610 eurot ühe kindlustusjuhtumi kohta ja 2 315 610
eurot aastas kõigi esitatud nõuete kohta;“;
10) seadust täiendatakse §-ga 1811 järgmises sõnastuses:
„§ 1811. Nõuded vahendaja digitaalsele tegevuskerksusele
(1) Vahendaja järgib Euroopa Parlamendi ja nõukogu määruses (EL) 2022/2554 sätestatud
nõudeid.
(2) Tõsistest info- ja kommunikatsioonitehnoloogiaga seotud intsidentidest ja küberohtudest
teavitamisele kohaldatakse käesoleva seaduse §-s 1051 sätestatut.
(3) Käesolevas paragrahvis sätestatut ei kohaldata mikroettevõtjast ja väikeettevõtjast
vahendajale ega keskmise suurusega vahendajale.“;
11) paragrahvi 186 lõike 2 punkt 13 muudetakse ja sõnastatakse järgmiselt:
„13) nõuded info- ja kommunikatsioonitehnoloogilise korralduse, infoturbe tagamise ja
talitluspidevuse kohta, mis peavad asjakohasel juhul olema kooskõlas Euroopa Parlamendi ja
nõukogu määruses (EL) 2022/2554 sätestatud info- ja kommunikatsioonitehnoloogia riskide
juhtimise raamistikuga;“;
12) paragrahvi 210 lõike 1 punkt 4 muudetakse ja sõnastatakse järgmiselt:
„4) äriseadustiku § 386 lõike 2 punktides 1, 3 ja 5 sätestatud andmed ja dokumendid;“;
13) paragrahvi 210 lõiget 1 täiendatakse punktiga 41 järgmises sõnastuses:
„41) äriühingu põhikirja või ühingulepingu asukohariigi seaduste kohaselt tõestatud ärakiri, kui
põhikiri või ühinguleping tuleb registrile esitada ka ühingu asukohariigis;“;
14) paragrahvi 224 täiendatakse lõikega 3 järgmises sõnastuses:
„(3) Finantsinspektsioonil on Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 nõuete
kohase täitmise üle järelevalve teostamisel kõik nimetatud määruses, käesolevas seaduses ja
Finantsinspektsiooni seaduses sätestatud õigused. Finantsinspektsioon avalikustab oma
veebilehel nimetatud määruses (EL) 2022/2554 sätestatud kohustuse rikkumise eest tehtud
otsuse määruse artiklis 54 sätestatu kohaselt.“;
15) seadust täiendatakse §-ga 2571 järgmises sõnastuses:
„§ 2571. Digitaalse tegevuskerksuse nõuete rikkumine
(1) Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artiklites 5–14 või 16–18, artikli
19 lõigetes 1 või 3–5, artiklites 24 või 25, artikli 26 lõigetes 1–8, artiklis 27, artikli 28 lõigetes
1–8, artiklis 29, artikli 30 lõigetes 1–4 või artikli 42 lõikes 3 sätestatud nõuete rikkumise eest –
karistatakse rahatrahviga kuni 700 000 eurot või kuni kahekordses väärteo tulemusel teenitud
kasule või ära hoitud kahjule vastavas summas.
(2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
7
karistatakse rahatrahviga kuni 5 000 000 eurot või kuni kahekordses väärteo tulemusel teenitud
kasule või ära hoitud kahjule vastavas summas või kuni kümme protsenti juriidilise isiku või
tema konsolideerimisgrupi konsolideeritud käibest.“;
16) paragrahvis 2633 asendatakse tekstiosa „käesoleva lõike esimeses lauses“ tekstiosaga
„eelmises lauses“;
17) seaduse normitehnilise märkuse tekstiosa „muudetud direktiiviga (EL) 2019/2177 (ELT
L 334, 27.12.2019, lk 155–163)“ asendatakse tekstiosaga „muudetud direktiividega (EL)
2019/2177 (ELT L 334, 27.12.2019, lk 155–163) ja (EL) 2022/2556 (ELT L 333, 27.12.2022,
lk 153–163)“.
§ 6. Krediidiandjate ja -vahendajate seaduse muutmine
Krediidiandjate ja -vahendajate seaduse § 28 lõikes 5 asendatakse tekstiosa „Euroopa
Parlamendi ja nõukogu määruse (EL) nr 575/2013 krediidiasutuste ja investeerimisühingute
suhtes kohaldatavate usaldatavusnõuete kohta ja määruse (EL) nr 648/2012 muutmise kohta
(ELT L 176, 27.06.2013, lk 1–337)“ tekstiosaga „Euroopa Parlamendi ja nõukogu määruse
(EL) nr 575/2013, mis käsitleb krediidiasutuste suhtes kohaldatavaid usaldatavusnõudeid ja
millega muudetakse määrust (EL) nr 648/2012 (ELT L 176 27.06.2013, lk 1),“.
§ 7. Krediidiasutuste seaduse muutmine
Krediidiasutuste seaduses tehakse järgmised muudatused:
1) paragrahvi 206 lõike 3 teises lauses asendatakse tekstiosa „üksnes filiaali kaudu“ tekstiosaga
„üksnes Eesti äriregistrisse kantud filiaali kaudu“;
2) paragrahvi 21 lõike 2 punkt 5 muudetakse ja sõnastatakse järgmiselt:
„5) äriseadustiku § 386 lõike 2 punktides 1, 3 ja 5 nimetatud andmed ja dokumendid;“;
3) paragrahvi 21 lõiget 2 täiendatakse punktiga 6 järgmises sõnastuses:
„6) äriühingu põhikirja või ühingulepingu asukohariigi seaduste kohaselt tõestatud ärakiri, kui
põhikiri või ühinguleping tuleb registrile esitada ka ühingu asukohariigis;“;
4) seadust täiendatakse §-ga 824 järgmises sõnastuses:
„§ 824. Nõuded operatsiooniriski juhtimisele
(1) Krediidiasutus järgib Euroopa Parlamendi ja nõukogu määruses (EL) 2022/2554, mis
käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ)
nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (ELT
L 333, 27.12.2022, lk 1–79), sätestatud nõudeid, sealhulgas kasutab ja haldab võrgu- ja
infosüsteeme määruses sätestatu kohaselt.
(2) Krediidiasutus töötab käesoleva seaduse § 82 lõikes 5 sätestatud talitluspidevuse plaani
osana välja piisavad info- ja kommunikatsioonitehnoloogia talitluspidevuse põhimõtted ja
plaani ning info- ja kommunikatsioonitehnoloogia reageerimis- ja taasteplaanid tehnoloogia
jaoks, mida krediidiasutus kasutab teabe edastamiseks, et tagada tegevuse jätkumine tõsiste
toimimishäirete korral ning piirata selliste häirete tagajärjel tekkida võivat kahju.
Krediidiasutus töötab eelmises lauses nimetatud plaanid välja ning haldab ja testib neid
kooskõlas Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artikliga 11.
8
(3) Krediidiasutusele ei kohaldata küberturvalisuse seaduse 2. peatükis sätestatud
küberturvalisuse tagamise nõudeid ja hädaolukorra seaduse § 41 lõiget 1.“;
5) seadust täiendatakse §-ga 923 järgmises sõnastuses:
„§ 923. Intsidendist ja küberohust teavitamine
(1) Krediidiasutus teavitab tõsisest info- ja kommunikatsioonitehnoloogiaga seotud intsidendist
Finantsinspektsiooni ning Riigi Infosüsteemi Ametit Euroopa Parlamendi ja nõukogu määruse
(EL) 2022/2554 artiklis 19 sätestatu kohaselt.
(2) Kui krediidiasutus on elutähtsa teenuse osutaja hädaolukorra seaduse § 38 lõike 1
tähenduses, loetakse käesoleva paragrahvi lõikes 1 sätestatu kohaselt esitatud teavitusega
hädaolukorra seaduse § 38 lõike 3 punktis 4 sätestatud elutähtsa teenuse osutaja teavitamise
kohustus tõsise info- ja kommunikatsioonitehnoloogiaga seotud intsidendi kohta täidetuks. Kui
hädaolukorra seaduse § 37 lõike 3 punktis 7 nimetatud sündmus ei liigitu tõsiseks info- ja
kommunikatsioonitehnoloogiaga seotud intsidendiks, kohaldatakse sündmusest teavitamisele
nimetatud seaduses ja selle alusel antud õigusaktis sätestatud nõudeid.
(3) Krediidiasutus kasutab käesoleva paragrahvi lõikes 1 sätestatud juhul esialgse teate ja
raportite edastamisel Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artikli 20 alusel
kehtestatud teavitusvorme ja lähtub kehtestatud tähtaegadest, välja arvatud juhul, kui tehnilistel
põhjustel ei ole võimalik esialgset teadet edastada asjakohast vormi kasutades.
(4) Kui krediidiasutus otsustab Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554
artikli 19 lõike 2 kohaselt teavitada Finantsinspektsiooni olulisest küberohust, edastab ta
teavituse ühtlasi Riigi Infosüsteemi Ametile.“;
6) paragrahvi 96 lõikes 5 asendatakse tekstiosa „süsteemset riski“ tekstiosaga „süsteemset riski,
digitaalse tegevuskerksuse testimise käigus tuvastatud riski“;
7) paragrahvi 99 lõiget 1 täiendatakse punktiga 41 järgmises sõnastuses:
„41) Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artikli 3 lõike 1 punktis 19
nimetatud kolmandast isikust info- ja kommunikatsioonitehnoloogia teenuse osutaja;“;
8) paragrahvi 103 täiendatakse lõikega 32 järgmises sõnastuses:
„(32) Finantsinspektsioonil on Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 nõuete
kohase täitmise üle järelevalve teostamisel kõik nimetatud määruses, käesolevas seaduses ja
Finantsinspektsiooni seaduses sätestatud õigused. Finantsinspektsioon avalikustab oma
veebilehel nimetatud määruses (EL) 2022/2554 sätestatud kohustuse rikkumise eest tehtud
otsuse määruse artiklis 54 sätestatu kohaselt“;
9) paragrahvid 13423–13425 tunnistatakse kehtetuks;
10) seadust täiendatakse §-ga 13426 järgmises sõnastuses:
„§ 13426. Digitaalse tegevuskerksuse nõuete rikkumine
(1) Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artiklites 5–14 või 16–18, artikli
19 lõigetes 1 või 3–5, artiklites 24 või 25, artikli 26 lõigetes 1–8, artiklis 27, artikli 28 lõigetes
1–8, artiklis 29, artikli 30 lõigetes 1–4 või artikli 42 lõikes 3 sätestatud nõuete rikkumise eest –
karistatakse rahatrahviga kuni 5 000 000 eurot või kuni kahekordses väärteo tulemusel teenitud
kasule või ära hoitud kahjule vastavas summas.
9
(2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 5 000 000 eurot või kuni kahekordses väärteo tulemusel teenitud
kasule või ära hoitud kahjule vastavas summas või kuni kümme protsenti juriidilise isiku või
tema konsolideerimisgrupi konsolideeritud käibest.“;
11) seaduse 12. peatükki täiendatakse §-dega 1401 ja 1402 järgmises sõnastuses:
„§ 1401. Juriidilise isiku ja konsolideerimisgrupi konsolideeritud käive
(1) Käesolevas peatükis sätestatud juriidilise isiku käive on aastane netokäive eelmisel
majandusaastal, sealhulgas brutotulu, mis koosneb saadaolevatest intressidest ja samalaadsetest
tuludest, tuludest aktsiatelt ja muudelt muutuv- või püsituluga väärtpaberitelt ning
saadaolevatest komisjoni- või teenustasudest kooskõlas Euroopa Parlamendi ja nõukogu
määruse (EL) nr 575/2013 artikliga 316. Kui juriidiline isik on emaettevõtja tütarettevõtja, on
käesoleva lõike esimeses lauses nimetatud brutotuluks kogutulu eelmise majandusaasta
konsolideeritud aastaaruande järgi.
(2) Käesoleva seaduse §-des 13414 ja 13421 sätestatud juriidilise isiku käive on aastane
kogukäive viimase kättesaadava juhtimisorgani kinnitatud raamatupidamise aruande järgi. Kui
juriidiline isik on emaettevõtja või sellise emaettevõtja tütarettevõtja, kes peab koostama
konsolideeritud finantsaruandeid, on käesoleva lõike esimeses lauses nimetatud kogukäive
aastane kogukäive või sellele vastav tululiik viimase kättesaadava konsolideeritud
raamatupidamise aruande järgi, mille on heaks kiitnud kõrgeima taseme emaettevõtja
juhtimisorgan.
§ 1402. Menetlus
(1) Käesolevas peatükis sätestatud väärtegude kohtuväline menetleja on Finantsinspektsioon.
(2) Käesolevas peatükis sätestatud väärtegude aegumistähtaeg on kolm aastat.“;
12) seaduse normitehnilise märkuse tekstiosa „ja (EL) 2019/2034 (ELT L 314, 05.12.2019,
lk 64–114)“ asendatakse tekstiosaga „, (EL) 2019/2034 (ELT L 314, 05.12.2019, lk 64–114) ja
(EL) 2022/2556 (ELT L 333, 27.12.2022, lk 153–163)“.
§ 8. Makseasutuste ja e-raha asutuste seaduse muutmine
Makseasutuste ja e-raha asutuste seaduses tehakse järgmised muudatused:
1) paragrahvi 3 lõike 6 punktis 3 asendatakse tekstiosa „ Euroopa Parlamendi ja nõukogu
määruse (EL) nr 575/2013 krediidiasutuste ja investeerimisühingute suhtes kohaldatavate
usaldatavusnõuete kohta ja määruse (EL) nr 648/2012 muutmise kohta (ELT L 176,
27.06.2013, lk 1–337)“ tekstiosaga „Euroopa Parlamendi ja nõukogu määruse (EL)
nr 575/2013, mis käsitleb krediidiasutuste suhtes kohaldatavaid usaldatavusnõudeid ja millega
muudetakse määrust (EL) nr 648/2012 (ELT L 176 27.06.2013, lk 1),“;
2) paragrahvi 4 lõike 1 punktis 9 asendatakse tekstiosa „sidevõrgu- ja infotehnoloogiliste
teenuste“ tekstiosaga „info- ja kommunikatsioonitehnoloogia- ning sidevõrguteenuste“;
3) paragrahvi 7 lõiget 1 täiendatakse teise lausega järgmises sõnastuses:
„E-raha asutus võib tegutseda üksnes aktsiaseltsina, kui ta osutab käesoleva paragrahvi lõike 2
punktis 1 või 2 nimetatud teenust.“;
10
4) paragrahvi 15 lõike 1 punkt 9 muudetakse ja sõnastatakse järgmiselt:
„9) andmed kavandatavate teenuste osutamiseks vajalike info- ja
kommunikatsioonitehnoloogia ja muude vahendite ning süsteemide kohta ning info- ja
kommunikatsioonitehnoloogia teenuste kasutamise kord kooskõlas Euroopa Parlamendi ja
nõukogu määrusega (EL) 2022/2554, mis käsitleb finantssektori digitaalset tegevuskerksust
ning millega muudetakse määrusi (EÜ) nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014,
(EL) nr 909/2014 ja (EL) 2016/1011 (ELT L 333, 27.12.2022, lk 1–79);“;
5) paragrahvi 15 lõike 11 punkt 2 muudetakse ja sõnastatakse järgmiselt:
„2) selgitust, kuidas turvalisuskontrolli ja riskide maandamise meetmetega, sealhulgas
käesoleva seaduse § 635 lõikes 1 nimetatud turvameetmetega, tagatakse digitaalse
tegevuskerksuse kõrge tase Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 II peatüki
kohaselt, eelkõige andmekaitses ja tehnilise turvalisuse, sealhulgas info- ja
kommunikatsioonitehnoloogia süsteemide jaoks, mida kasutab taotleja või kolmas isik, kellele
antakse edasi makseteenuse osutamisega seotud tegevusi või tööülesandeid.“;
6) paragrahvi 17 lõige 5 muudetakse ja sõnastatakse järgmiselt:
„(5) Kui taotleja ei ole kõrvaldanud käesoleva paragrahvi lõikes 1 nimetatud puudusi ettenähtud
tähtaja jooksul või ei ole tähtpäevaks esitanud Finantsinspektsiooni nõutud andmeid või
dokumente või taotlus on esitatud oluliste puudustega, võib Finantsinspektsioon jätta
tegevusloa taotluse läbi vaatamata.“;
7) paragrahvi 24 lõige 3 muudetakse ja sõnastatakse järgmiselt:
„(3) Eesti makseasutuse ja e-raha asutuse poolt käesoleva paragrahvi lõikes 2 nimetamata
välisriigis (edaspidi kolmandas riigis) filiaali asutamisele kohaldatakse käesoleva seaduse §-
des 25–28 sätestatut.“;
8) paragrahvi 24 täiendatakse lõikega 41 järgmises sõnastuses:
„(41) Kolmandas riigis piiriüleselt teenuse osutamiseks peab makseasutus või e-raha asutus
taotlema Finantsinspektsioonilt luba. Loa taotlemiseks esitab makseasutus või e-raha asutus
Finantsinspektsioonile kirjaliku taotluse ning § 29 lõike 1 punktides 1 ja 2 sätestatud andmed
ja dokumendid. Loa taotlemisele, menetlemisele, andmisele ja kehtetuks tunnistamisele
kohaldatakse käesoleva seaduse § 25 lõigetes 1 ja 3 ning §-des 26–28 filiaali asutamise loa
kohta sätestatut, sealjuures § 27 punktides 3 ja 4 äriplaani kohta sätestatut kohaldatakse
tegevuskava suhtes.“;
9) paragrahvi 32 lõike 2 punkt 6 muudetakse ja sõnastatakse järgmiselt:
„6) äriseadustiku § 386 lõike 2 punktides 1, 3 ja 5 nimetatud andmed ja dokumendid;“;
10) paragrahvi 32 lõiget 2 täiendatakse punktiga 61 järgmises sõnastuses:
„61) äriühingu põhikirja või ühingulepingu asukohariigi seaduste kohaselt tõestatud ärakiri, kui
põhikiri või ühinguleping tuleb registrile esitada ka ühingu asukohariigis;“;
11) paragrahvi 44 lõike 1 punktis 3 asendatakse tekstiosa „§-s 54“ tekstiosaga „§-s 39“;
12) paragrahvi 50 lõike 3 punktis 6 asendatakse tekstiosa „infotehnoloogiaalaste“ tekstiosaga
„info- ja kommunikatsioonitehnoloogia“;
13) paragrahvi 50 lõike 3 punkt 9 muudetakse ja sõnastatakse järgmiselt:
„9) turvalisusega seotud kliendikaebuste ja turvaintsidentide väljaselgitamise ja lahendamise
ning nende suhtes meetmete rakendamise kord, sealhulgas intsidentidest teatamise kord
kooskõlas Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 III peatükis sätestatud
11
tõsisest info- ja kommunikatsioonitehnoloogiaga seotud intsidendist ning osutatava
makseteenusega seotud olulisest operatsiooni- või turvaintsidendist teavitamise nõuetega;“;
14) paragrahvi 50 lõike 3 punkt 11 muudetakse ja sõnastatakse järgmiselt:
„11) talitluspidevuse tagamise kord, sealhulgas oluliste toimingute loetelu, tõhusad info- ja
kommunikatsioonitehnoloogia talitluspidevuse põhimõtted ja plaanid ning info- ja
kommunikatsioonitehnoloogia reageerimis- ja taasteplaanid ning nende plaanide asjakohasuse
ja tõhususe regulaarse testimise ning läbivaatamise menetlus kooskõlas Euroopa Parlamendi ja
nõukogu määruses (EL) 2022/2554 sätestatuga;“;
15) paragrahvi 52 lõige 1 muudetakse ja sõnastatakse järgmiselt:
„(1) Makseasutuse või e-raha asutuse ümberkujundamine on lubatud üksnes osaühingust
aktsiaseltsiks. Ümberkujundamiseks on vajalik Finantsinspektsiooni luba.“;
16) paragrahvi 52 täiendatakse lõigetega 11–17 järgmises sõnastuses:
„(11) Makseasutus või e-raha asutus kujundatakse ümber äriseadustikus sätestatud korras, kui
käesolevast seadusest ei tulene teisiti.
(12) Käesoleva paragrahvi lõikes 1 sätestatud loa saamiseks esitab makseasutus või e-raha
asutus Finantsinspektsioonile taotluse koos järgmiste andmete ja dokumentidega:
1) osanike koosoleku otsus põhikirja muutmise kohta ja põhikirja muudetud tekst;
2) osanike koosoleku protokoll;
3) ümberkujundamisaruanne.
(13) Finantsinspektsioon teeb otsuse ümberkujundamisloa andmise või sellest keeldumise kohta
ühe kuu jooksul kõigi nõuetekohaste andmete ja dokumentide saamisest arvates, kuid hiljemalt
kolm kuud pärast taotluse saamist.
(14) Finantsinspektsioon võib keelduda ümberkujundamisloa andmisest, kui:
1) ümberkujundamisluba taotleva makseasutuse või e-raha asutuse finantsseisund ei vasta
käesolevas seaduses sätestatud nõuetele;
2) ümberkujundamisega seotud dokumentatsioon ei vasta käesolevas seaduses või
äriseadustikus sätestatud nõuetele;
3) ümberkujundamine võib muul põhjusel kahjustada makseasutuse või e-raha asutuse klientide
huve;
4) esineb muu oluline alus ümberkujundamist mitte lubada.
(15) Finantsinspektsioon avalikustab ümberkujundamisloa andmise otsuse hiljemalt otsuse
tegemisele järgneval tööpäeval oma veebilehel.
(16) Äriseadustiku § 485 lõikes 1 nimetatud ja äriregistri pidajale esitatavale avaldusele
lisatakse Finantsinspektsiooni luba makseasutuse või e-raha asutuse ümberkujundamiseks.
(17) Makseasutuse ega e-raha asutuse piiriülene ümberkujundamine ei ole lubatud.“;
17) paragrahvi 62 lõikes 2 ja § 84 lõike 2 punktis 4 asendatakse sõna „infosüsteem“ tekstiosaga
„info- ja kommunikatsioonitehnoloogia süsteem“ vastavas käändes;
18) paragrahvi 635 täiendatakse lõikega 3 järgmises sõnastuses:
„(3) Makseasutus ja e-raha asutus järgib lisaks käesoleva paragrahvi lõikes 1 sätestatule
Euroopa Parlamendi ja nõukogu määruses (EL) 2022/2554 sätestatud nõudeid.“;
12
19) paragrahvi 636 pealkiri muudetakse ja sõnastatakse järgmiselt:
„§ 636. Intsidendist ja küberohust teavitamine“;
20) paragrahvi 636 täiendatakse lõigetega 5–8 järgmises sõnastuses:
„(5) Käesoleva paragrahvi lõigetes 1 ja 2 sätestatut ei kohaldata makseasutusele ega e-raha
asutusele. Makseasutus ja e-raha asutus lähtuvad olulisest operatsiooni- või turvaintsidendist
Finantsinspektsioonile teavitamisel Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554
III peatükis sätestatust.
(6) Makseasutus ja e-raha asutus teavitavad Euroopa Parlamendi ja nõukogu määruse (EL)
2022/2554 artikli 3 punktis 10 sätestatud tõsisest info- ja kommunikatsioonitehnoloogiaga
seotud intsidendist Finantsinspektsiooni ja Riigi Infosüsteemi Ametit Euroopa Parlamendi ja
nõukogu määruse (EL) 2022/2554 artiklis 19 sätestatu kohaselt.
(7) Makseasutus ja e-raha asutus kasutavad käesoleva paragrahvi lõikes 6 sätestatud juhul
esialgse teate ja raportite edastamiseks Euroopa Parlamendi ja nõukogu määruse (EL)
2022/2554 artikli 20 alusel kehtestatud teavitusvorme ja lähtuvad teavitamisel kehtestatud
tähtaegadest, välja arvatud juhul, kui tehnilistel põhjustel ei ole võimalik esialgset teadet
edastada asjakohast vormi kasutades.
(8) Kui makseasutus või e-raha asutus otsustab Euroopa Parlamendi ja nõukogu määruse (EL)
2022/2554 artikli 19 lõike 2 kohaselt teavitada Finantsinspektsiooni olulisest küberohust,
edastab makseasutus või e-raha asutus teavituse ühtlasi Riigi Infosüsteemi Ametile.“;
21) paragrahvi 91 pealkiri muudetakse ja sõnastatakse järgmiselt:
„§ 91. Finantsinspektsiooni ülesanded, õigused ja rakendatavad meetmed“;
22) paragrahvi 91 tekst loetakse lõikeks 1 ja paragrahvi täiendatakse lõikega 2 järgmises
sõnastuses:
„(2) Finantsinspektsioonil on Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 nõuete
kohase täitmise üle järelevalve teostamisel kõik nimetatud määruses, käesolevas seaduses ja
Finantsinspektsiooni seaduses sätestatud õigused. Finantsinspektsioon avalikustab oma
veebilehel nimetatud määruses (EL) 2022/2554 sätestatud kohustuse rikkumise eest tehtud
otsuse määruse artiklis 54 sätestatu kohaselt.“;
23) paragrahvi 92 lõige 11 muudetakse ja sõnastatakse järgmiselt:
(11) Finantsinspektsioon võib oma ettekirjutusega keelata makseasutusel või e-raha asutusel
välisriigis asutatud filiaali kaudu või muul viisil teenuste osutamise, kui:
1) ilmneb mõni käesoleva seaduse § 29 lõikes 5 nimetatud asjaolu;
2) välisriigi finantsjärelevalve asutus on Finantsinspektsiooni teavitanud välisriigi õigusaktis
sätestatud või välisriigi finantsjärelevalve asutuse esitatud tingimuste rikkumisest
makseasutuse või e-raha asutuse poolt.
24) paragrahvi 92 lõikes 12 asendatakse sõna „lepinguriigis“ sõnaga „välisriigis“;
25) seadust täiendatakse §-ga 1091 järgmises sõnastuses:
„§ 1091. Digitaalse tegevuskerksuse nõuete rikkumine
(1) Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artiklites 5–14 või 16–18, artikli
19 lõigetes 1 või 3–5, artiklites 24 või 25, artikli 26 lõigetes 1–8, artiklis 27, artikli 28 lõigetes
1–8, artiklis 29, artikli 30 lõigetes 1–4 või artikli 42 lõikes 3 sätestatud nõuete rikkumise eest –
13
karistatakse rahatrahviga kuni 5 000 000 eurot või kuni kahekordses väärteo tulemusel teenitud
kasule või ära hoitud kahjule vastavas summas.
(2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 5 000 000 eurot või kuni kahekordses väärteo tulemusel teenitud
kasule või ära hoitud kahjule vastavas summas või kuni kümme protsenti juriidilise isiku või
tema konsolideerimisgrupi konsolideeritud käibest.“;
26) seaduse normitehnilist märkust täiendatakse pärast tekstiosa „(ELT L 337, 23.12.2015,
lk 35–127)“ tekstiosaga „, muudetud direktiiviga (EL) 2022/2556 (ELT L 333, 27.12.2022, lk
153–163)“.
§ 9. Väärtpaberite registri pidamise seaduse muutmine
Väärtpaberite registri pidamise seaduses tehakse järgmised muudatused:
1) paragrahvi 71 lõike 5 esimene lause muudetakse ja sõnastatakse järgmiselt:
„Registripidaja võimaldab Finantsinspektsioonil, Riigi Infosüsteemi Ametil ja Andmekaitse
Inspektsioonil igal ajal kontrollida turvastandardite rakendamist nii registripidaja, infosüsteemi
majutamisteenuse pakkuja kui ka infosüsteemi majutamise asukohas.“;
2) paragrahvi 71 lõige 7 tunnistatakse kehtetuks;
3) seaduse 4. peatükki täiendatakse §-ga 302 järgmises sõnastuses:
„§ 302. Nõuded registripidaja digitaalsele tegevuskerksusele
(1) Registripidaja järgib Euroopa Parlamendi ja nõukogu määruses (EL) 2022/2554, mis
käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ)
nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (ELT
L 333, 27.12.2022, lk 1–79), sätestatud nõudeid.
(2) Registripidajale ei kohaldata küberturvalisuse seaduse 2. peatükis sätestatud
küberturvalisuse tagamise nõudeid.
(3) Registripidaja teavitab tõsisest info- ja kommunikatsioonitehnoloogiaga seotud intsidendist
Finantsinspektsiooni ning Riigi Infosüsteemi Ametit Euroopa Parlamendi ja nõukogu määruse
(EL) 2022/2554 artiklis 19 sätestatu kohaselt.
(4) Registripidaja kasutab käesoleva paragrahvi lõikes 3 sätestatud juhul esialgse teate ja
raportite edastamisel Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artikli 20 alusel
kehtestatud teavitusvorme ja lähtub kehtestatud tähtaegadest, välja arvatud juhul, kui tehnilistel
põhjustel ei ole võimalik esialgset teadet edastada asjakohast vormi kasutades.
(5) Kui registripidaja otsustab Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554
artikli 19 lõike 2 kohaselt teavitada Finantsinspektsiooni olulisest küberohust, edastab
registripidaja teavituse ühtlasi Riigi Infosüsteemi Ametile.
(6) Registripidaja peab kooskõlas Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554
artikli 12 lõikes 5 sätestatuga tagama vähemalt ühe varutöötluskoha olemasolu.
(7) Käesoleva paragrahvi lõigetes 1–6 sätestatut ei kohaldata pensioniregistri pidajale.“;
14
4) paragrahvi 38 täiendatakse lõikega 13 järgmises sõnastuses:
„(13) Finantsinspektsioon teostab lisaks käesoleva paragrahvi lõikes 12 sätestatule järelevalvet
Euroopa Parlamendi ja nõukogu määruses (EL) 2022/2554 sätestatu täitmise üle.“;
5) paragrahvi 39 täiendatakse lõikega 11 järgmises sõnastuses:
„(11) Finantsinspektsioonil on Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 nõuete
kohase täitmise üle järelevalve teostamisel kõik nimetatud määruses, käesolevas seaduses ja
Finantsinspektsiooni seaduses sätestatud õigused.“;
6) paragrahvi 39 täiendatakse lõikega 41 järgmises sõnastuses:
„(41) Finantsinspektsioon avalikustab oma veebilehel nimetatud määruses (EL) 2022/2554
sätestatud kohustuse rikkumise eest tehtud otsuse määruse artiklis 54 sätestatu kohaselt.“.
§ 10. Väärtpaberituru seaduse muutmine
Väärtpaberituru seaduses tehakse järgmised muudatused:
1) paragrahvi 1 lõikes 2 asendatakse tekstiosa „ja §-s 23784“ tekstiosaga „ning §-des 23784 ja
23790“;
2) paragrahvis 101 asendatakse tekstiosa „Euroopa Parlamendi ja nõukogu määruse (EL)
nr 575/2013 krediidiasutuste ja investeerimisühingute suhtes kohaldatavate usaldatavusnõuete
kohta ja määruse (EL) nr 648/2012 muutmise kohta (ELT L 176, 27.06.2013, lk 1–337)“
tekstiosaga „Euroopa Parlamendi ja nõukogu määruse (EL) nr 575/2013, mis käsitleb
krediidiasutuste suhtes kohaldatavaid usaldatavusnõudeid ja millega muudetakse määrust (EL)
nr 648/2012 (ELT L 176 27.06.2013, lk 1),“;
3) paragrahvi 66 lõike 2 punkt 5 muudetakse ja sõnastatakse järgmiselt:
„5) andmed vastavalt äriseadustiku § 386 lõike 2 punktides 1, 3 ja 5 sätestatule;“;
4) paragrahvi 66 lõiget 2 täiendatakse punktiga 51 järgmises sõnastuses:
„51) äriühingu põhikirja või ühingulepingu asukohariigi seaduste kohaselt tõestatud ärakiri, kui
põhikiri või ühinguleping tuleb registrile esitada ka ühingu asukohariigis;“;
5) paragrahvi 701 lõike 3 punkt 5 muudetakse ja sõnastatakse järgmiselt:
„5) andmed vastavalt äriseadustiku § 386 lõike 2 punktides 1, 3 ja 5 sätestatule;“;
6) paragrahvi 701 lõiget 3 täiendatakse punktiga 51 järgmises sõnastuses:
„51) äriühingu põhikirja või ühingulepingu asukohariigi seaduste kohaselt tõestatud ärakiri kui
põhikiri või ühinguleping tuleb registrile esitada ka ühingu asukohariigis;“;
7) paragrahvi 811 täiendatakse lõikega 41 järgmises sõnastuses:
„(41) Investeerimisühing järgib Euroopa Parlamendi ja nõukogu määruses (EL) 2022/2554, mis
käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ)
nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (ELT
L 333, 27.12.2022, lk 1–79), sätestatud nõudeid, sealhulgas on tal asjakohased ja
proportsionaalsed info- ja kommunikatsioonitehnoloogia süsteemid ning ta haldab neid
määruse artiklis 7 sätestatu kohaselt.“;
8) paragrahvi 826 lõige 4 muudetakse ja sõnastatakse järgmiselt:
„(4) Edasiandmisel peavad olema täidetud komisjoni delegeeritud määruses (EL) nr 2017/565
ja info- ja kommunikatsioonitehnoloogia teenuse edasiandmisel lisaks Euroopa Parlamendi ja
15
nõukogu määruses (EL) 2022/2554 sätestatud ning käesolevast seadusest tulenevad nõuded,
sealhulgas rakendab investeerimisühing usaldusväärseid turvasüsteeme, et tagada
teabeedastusviiside ohutus ja autentimine, vähendada andmete rikkumise ja loata juurdepääsu
riski ning hoida ära teabelekked, säilitades igal ajal andmete konfidentsiaalsuse.“;
9) paragrahvi 8215 lõike 1 teine lause muudetakse ja sõnastatakse järgmiselt:
„Investeerimisühing järgib käesolevas lõikes nimetatud meetmete rakendamisel muu hulgas
komisjoni delegeeritud määruses (EL) nr 2017/589, millega täiendatakse Euroopa Parlamendi
ja nõukogu direktiivi 2014/65/EL seoses regulatiivsete tehniliste standarditega, milles
määratakse kindlaks algoritmkauplemisega tegelevate investeerimisühingute
organisatsioonilised nõuded (ELT L 87, 31.03.2017, lk 417–448), ning Euroopa Parlamendi ja
nõukogu määruses (EL) 2022/2554 sätestatut.“;
10) paragrahvi 8215 lõige 5 muudetakse ja sõnastatakse järgmiselt:
„(5) Investeerimisühingul peab olema tõhus talitluspidevuse kord, mis sisaldab muu hulgas
info- ja kommunikatsioonitehnoloogia talitluspidevuse põhimõtteid ja plaane ning info- ja
kommunikatsioonitehnoloogia reageerimis- ja taasteplaane Euroopa Parlamendi ja nõukogu
määruse (EL) 2022/2554 artikli 11 kohaselt, et toime tulla kauplemissüsteemi tõrgetega.
Investeerimisühing tagab käesoleva paragrahvi lõikes 1 nimetatud süsteemide igakülgse
testimise ja nende vastavuse käesolevas paragrahvis, sealhulgas määruse II ja IV peatükis
sätestatud nõuetele.“;
11) seadust täiendatakse §-ga 8218 järgmises sõnastuses:
„§ 8218. Intsidendist ja küberohust teavitamine
(1) Investeerimisühing teavitab tõsisest info- ja kommunikatsioonitehnoloogiaga seotud
intsidendist inspektsiooni ning Riigi Infosüsteemi Ametit Euroopa Parlamendi ja nõukogu
määruse (EL) 2022/2554 artiklis 19 sätestatu kohaselt.
(2) Investeerimisühing kasutab käesoleva paragrahvi lõikes 1 sätestatud juhul esialgse teate ja
raportite edastamisel Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artikli 20 alusel
kehtestatud teavitusvorme ja lähtub kehtestatud tähtaegadest, välja arvatud juhul, kui tehnilistel
põhjustel ei ole võimalik esialgset teadet edastada asjakohast vormi kasutades.
(3) Kui investeerimisühing otsustab Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554
artikli 19 lõike 2 kohaselt teavitada inspektsiooni olulisest küberohust, edastab ta teavituse
ühtlasi Riigi Infosüsteemi Ametile.“;
12) seaduse 13. peatüki pealkiri muudetakse ja sõnastatakse järgmiselt:
„13. peatükk
INVESTEERIMISÜHINGU ÜHINEMINE, JAGUNEMINE JA
ÜMBERKUJUNDAMINE“;
13) paragrahv 114 muudetakse ja sõnastatakse järgmiselt:
„§ 114. Jagunemise ja piiriülese ümberkujundamise keeld
Investeerimisühingu jagunemine ja piiriülene ümberkujundamine ei ole lubatud.“;
14) paragrahvi 11917 täiendatakse lõikega 3 järgmises sõnastuses:
„(3) Erandi alusel tegutsevale aruandlusteenuse osutajale kohaldatakse käesoleva seaduse §-s
8218 investeerimisühingu kohta sätestatut info- ja kommunikatsioonitehnoloogiaga seotud
intsidentidest ja küberohtudest teavitamise korral.“;
16
15) paragrahvi 121 lõikes 3 asendatakse sõna „infotehnoloogiliste“ tekstiosaga „info- ja
kommunikatsioonitehnoloogia“;
16) paragrahvi 1246 lõige 1 muudetakse ja sõnastatakse järgmiselt:
„(1) Korraldaja kehtestab õiguslikud, tehnilised ja organisatsioonilised meetmed ja rakendab
neid, et tuvastada ja maandada turu õigus- ja korrapärase toimimise riskid, sealhulgas info- ja
kommunikatsioonitehnoloogia riskid Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554
II peatükis sätestatu kohaselt.“;
17) paragrahvi 1246 lõige 3 muudetakse ja sõnastatakse järgmiselt:
„(3) Korraldaja järgib Euroopa Parlamendi ja nõukogu määruses (EL) 2022/2554 sätestatud
nõudeid, sealhulgas rakendab meetmeid, et usaldusväärselt hallata turu korraldamiseks
kasutatava infotehnoloogilise süsteemi või muu tehingute tegemist vahendava ja andmeid
salvestava süsteemi (edaspidi kauplemissüsteem) tehnilisi toiminguid ning toime tulla
süsteemide riketega.“;
18) paragrahvi 1246 täiendatakse lõikega 9 järgmises sõnastuses:
„(9) Korraldajale ei kohaldata küberturvalisuse seaduse 2. peatükis sätestatud küberturvalisuse
tagamise nõudeid.“;
19) paragrahvi 1251 lõike 2 teine lause muudetakse ja sõnastatakse järgmiselt:
„Korraldajal on tõhus talitluspidevuse kord teenuste osutamise jätkuvuse tagamiseks turu
kauplemissüsteemi tõrgete korral, sealhulgas kehtestab korraldaja info- ja
kommunikatsioonitehnoloogia talitluspidevuse põhimõtted ja plaani ning info- ja
kommunikatsioonitehnoloogia reageerimis- ja taasteplaanid Euroopa Parlamendi ja nõukogu
määruse (EL) 2022/2554 artiklis 11 sätestatu kohaselt.“;
20) paragrahvi 1252 lõike 1 teine lause muudetakse ja sõnastatakse järgmiselt:
„Muu hulgas nõuab korraldaja turul osalejalt algoritmide asjakohast testimist ja selleks vajaliku
keskkonna loomist Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 II ja IV peatükis
sätestatu kohaselt.“;
21) seaduse 14. peatükki täiendatakse §-ga 1253 järgmises sõnastuses:
„§ 1253. Intsidendist ja küberohust teavitamine
(1) Korraldaja teavitab tõsisest info- ja kommunikatsioonitehnoloogiaga seotud intsidendist
inspektsiooni ning Riigi Infosüsteemi Ametit Euroopa Parlamendi ja nõukogu määruse (EL)
2022/2554 artiklis 19 sätestatu kohaselt.
(2) Korraldaja kasutab käesoleva paragrahvi lõikes 1 sätestatud juhul esialgse teate ja raportite
edastamisel Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artikli 20 alusel
kehtestatud teavitusvorme ja lähtub kehtestatud tähtaegadest, välja arvatud juhul, kui tehnilistel
põhjustel ei ole võimalik esialgset teadet edastada asjakohast vormi kasutades.
(3) Kui korraldaja otsustab Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artikli 19
lõike 2 kohaselt teavitada inspektsiooni olulisest küberohust, edastab ta teavituse ühtlasi Riigi
Infosüsteemi Ametile.“;
22) paragrahvi 1631 lõikes 7 asendatakse tekstiosa „§-des 1251 ja 1252“ tekstiosaga „§-des
1251–1253“;
17
23) paragrahvi 230 lõiget 1 täiendatakse punktiga 16 järgmises sõnastuses:
„16) Euroopa Parlamendi ja nõukogu määrus (EL) 2022/2554.“;
24) paragrahvi 230 täiendatakse lõikega 7 järgmises sõnastuses:
„(7) Inspektsioonil on Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 nõuete kohase
täitmise üle järelevalve teostamisel lisaks käesoleva paragrahvi lõike 1 teises lauses sätestatule
kõik Euroopa Parlamendi ja nõukogu määruses (EL) 2022/2554 sätestatud õigused.
Finantsinspektsioon avalikustab oma veebilehel nimetatud määruses (EL) 2022/2554 sätestatud
kohustuse rikkumise eest tehtud otsuse määruse artiklis 54 sätestatu kohaselt.
25) paragrahv 23789 tunnistatakse kehtetuks;
26) seadust täiendatakse §-ga 23790 järgmises sõnastuses:
„§ 23790. Digitaalse tegevuskerksuse nõuete rikkumine
(1) Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 artiklites 5–14 või 16–18,
artikli 19 lõigetes 1 või 3–5, artiklites 24 või 25, artikli 26 lõigetes 1–8, artiklis 27, artikli 28
lõigetes 1–8, artiklis 29, artikli 30 lõigetes 1–4 või artikli 42 lõikes 3 sätestatud nõuete
rikkumise eest –
karistatakse rahatrahviga kuni 5 000 000 eurot või kuni kahekordses väärteo tulemusel teenitud
kasule või ära hoitud kahjule vastavas summas.
(2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 5 000 000 eurot või kuni kahekordses väärteo tulemusel teenitud
kasule või ära hoitud kahjule vastavas summas või kuni kümme protsenti juriidilise isiku või
tema konsolideerimisgrupi konsolideeritud käibest.“;
27) paragrahv 2622 tunnistatakse kehtetuks;
28) seadust täiendatakse §-ga 2623 järgmises sõnastuses:
㤠2623. Menetlus
(1) Käesolevas peatükis nimetatud väärtegude kohtuväline menetleja on inspektsioon.
(2) Käesolevas peatükis sätestatud väärtegude aegumistähtaeg on kolm aastat.“;
29) seaduse normitehnilise märkuse tekstiosa „(EL) 2016/1034 (ELT L 175, 30.06.2016, lk 8–
11) ja (EL) 2019/2034 (ELT L 314, 05.12.2019, lk 64–114)“ asendatakse tekstiosaga „, (EL)
2016/1034 (ELT L 175, 30.06.2016, lk 8–11), (EL) 2019/2034 (ELT L 314, 05.12.2019, lk 64–
114) ja (EL) 2022/2556 (ELT L 333, 27.12.2022, lk 153–163)“.
§ 11. Seaduse jõustumine
(1) Käesoleva seaduse § 1 punktid 1, 2 ja 4–6, § 2 punktid 2–8, § 3, § 4 punktid 2–12, § 5
punktid 4–6, 8, 10, 11, 14, 15 ja 17, § 7 punktid 4–12, § 8 punktid 2, 4, 5, 12–14, 17–22, 25 ja
26, § 9 ning § 10 punktid 1, 7–11,14–26 ja 29 jõustuvad 2025. aasta 17. jaanuaril.
(2) Käesoleva seaduse § 5 punkt 9 jõustub 2024. aasta 9. oktoobril.
Lauri Hussar
Riigikogu esimees
18
Tallinn 2024
Algatab Vabariigi Valitsus 2024
(allkirjastatud digitaalselt)
1
Finantsinspektsiooni seaduse ja teiste seaduste muutmise seaduse
eelnõu1 seletuskiri
1. Sissejuhatus
1.1. Sisukokkuvõte
Eelnõuga tagatakse kooskõla riigisisese finantssektori tegevust reguleeriva õiguse ja
finantsasutustele kohalduvate Euroopa Liidu (edaspidi EL) digitaalse tegevuskerksuse nõuete
vahel.
Põhieesmärk on vähendada finantssektoris äriprotsesside ja oluliste funktsioonide katkemise
riski ning ohtu nii ettevõtte kui ka klientide teabe- ja finantsvarale, mida võivad põhjustada nii
tehnilised rikked, operatiivsed vead kui ka küberründed, ning seeläbi suurendada muu hulgas
finantsteenuste klientide ja investorite kaitset.
Finantsteenuste valdkonnas toimunud digiüleminek on toonud kaasa info- ja
kommunikatsioonitehnoloogia (edaspidi IKT) teenuste kasutamise ja neile tuginemise
enneolematul tasemel. Finantsteenuste osutamine ilma pilvteenuseid, tarkvaralahendusi ja
andmetega seotud teenuseid kasutamata on muutunud mõeldamatuks. Digitaalse
tegevuskerksuse nõuete rakendamise eesmärk on tagada finantsasutuste:
- tegevuse toimimine, terviklikkus ja usaldusväärus mh IKT suutlikkusega seonduvalt;
- võime kohaneda, toimida ja taastuda IKT-ga seotud riskide realiseerumisel, sh küberrünnete
korral;
- suutlikkus teenuse osutamist kiiresti jätkata.
Finantsasutustele suunatud EL digitaalse tegevuskerksuse nõuded on sätetatud:
- Euroopa Parlamendi ja nõukogu määruses (EL) 2022/25542, mis käsitleb finantssektori
digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ) nr 1060/2009, (EL)
nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (edaspidi DORA
määrus) ja
- Euroopa Parlamendi ja nõukogu direktiivis (EL) 2022/25563, millega muudetakse direktiive
2009/65/EÜ, 2009/138/EÜ, 2011/61/EL, 2013/36/EL, 2014/59/EL, 2014/65/EL, (EL)
2015/2366 ja (EL) 2016/2341 seoses finantssektori digitaalse tegevuskerksusega (edaspidi
DORA direktiiv).
Eelnõuga võetakse üle DORA direktiiv, mille ülevõtmistähtaeg on 17. jaanuaril 2025. a. Ühtlasi
tagataks finantssektori seaduste kooskõla DORA määrusega.
Digitaalse tegevuskerksuse nõuete kohaldamisalasse kuuluvad finantsasutused on:
- krediidiasutused;
- hoiu-laenuühistud (riigisisene valik mitte kohaldada määrust);
- makseasutused;
- e-raha asutused;
- investeerimisühingud;
- alternatiivsete investeerimisfondide valitsejad;
- fondivalitsejad;
- aruandlusteenuse osutajad;
1 Esimesel kooskõlastusel käinud eelnõu nimetus: finantskriisi ennetamise ja lahendamise seaduse ning teiste seaduste
muutmise seaduse eelnõu 2 https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX:32022R2554 3 https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX:32022L2556
2
- kindlustus- ja edasikindlustusandjad;
- kindlustusvahendajad (v.a kuni keskmise suurusega vahendajad);
- krüptovarateenuse osutajad ja varapõhiste tokenite emitendid;
- reitinguagentuurid;
- kriitilise tähtsusega võrdlusaluste haldurid;
- ühisrahastamisteenuse osutajad;
- väärtpaberistamise registrid;
- väärtpaberite keskdepositooriumid;
- kesksed vastaspooled;
- ühisrahastusteenuse osutajad;
- kauplemiskohad;
- kauplemisteabehoidlad ja
- tööandja kogumispensioni asutused (IORP-id).
Finantsasutus peab:
- kehtestama tõhusa ja usaldusväärse IKT-riskide juhtimisraamistiku, mis on
dokumenteeritud ja auditeeritud, võimaldades IKT-ga seotud riske kiiresti ja tõhusalt
juhtida;
- teavitama pädevat asutust tõsistest IKT intsidentidest;
- testima regulaarselt ettevõtte digitaalset tegevuskerksust;
- jagama (vabatahtlikult) küberohtudega seotud infot teiste finantsasutustega;
- muu hulgas juhtima kolmandast isikust IKT teenuseosutajaga seotud riske, sealhulgas
järgima finantsasutuse ja kolmandast isikust IKT teenuseosutaja vahelistele lepingutele
kohalduvaid põhimõtteid.
DORA kohaldamisalasse kuuluvad lisaks kriitilise tähtsusega kolmandast osapoolest IKT
teenuseosutajad, kelle suhtes kohaldub EL-ülene järelevaatamisraamistik.
Seega mõjutab uus regulatsioon kõiki finantsasutusi, kelle halduskoormus küll tõuseb, kuid
hästi toimiv IKT-riskide juhtimisraamistik ja digitaalse tegevuskerksuse testimine aitab
ennetada IKT-ga seotud riskide realiseerumist, samas riskide realiseerumisel aitab tagada, et
ettevõte saab kiiresti jätkata oluliste funktsioonide osutamist. Kui finantsasutusel on toimiv IKT
riskide juhtimisraamistik, on ka klientidega seotud teabe- ja finantsvara paremini kaitstud ning
lisaks on klientidele teenuse osutamise katkemise risk oluliselt väiksem.
Lisaks tehakse tehnilised muudatused, et viia finantssektori seadused kooskõlla äriseadustikus
(ÄS) 2022. aasta 23. detsembril ja 2023. aasta 1. veebruaril jõustunud muudatustega. Sellega
eemaldatakse seadustest tühi viide ning lisatakse vastav regulatsioon seaduste teksti ning
ajakohastatakse ühinguõigust reguleerivaid sätteid.
Eelnõuga tehtavad muudatused jõustuvad osaliselt üldkorras ning DORA määruse ja direktiivi
nõuete rakendamisega seotud sätted 17. jaanuaril 2025. a. Kindlustusummade tõstmisega
muudatused jõustuvad 9.oktoobril 2024. a.
1.2. Eelnõu ettevalmistaja
Eelnõu ja seletuskirja on välja töötanud Rahandusministeeriumi finantsteenuste poliitika
osakonna nõunik Kristiina Kubja (58851398, [email protected]), sama osakonna
osakonnajuhataja Siiri Tõniste (58851466, [email protected]) ja osakonnajuhataja asetäitja
Thomas Auväärt (6113633, [email protected]). Eelnõu väljatöötamisel konsulteeriti
Finantsinspektsiooni (FI), Riigi Infosüsteemide Ameti (RIA), Eesti Panga (EP), Majandus ja
kommunikatsiooniministeeriumi (MKM) ja Riigikantseleiga (RK).
3
Eelnõu ja seletuskirja juriidilist kvaliteeti kontrollis Rahandusministeeriumi personali- ja
õigusosakonna nõunik Marge Kaskpeit (58851423, [email protected]) ja keeleliselt
toimetas sama osakonna keeletoimetaja Sirje Lilover (58851468, [email protected]).
1.3. Märkused
Eelnõu on seotud Vabariigi Valitsuse tegevusprogrammi punktiga 2.1.3, mille kohaselt tuleb
finantskriisi ennetamise ja lahendamise seaduse eelnõu direktiivi (EL) 2022/2556 (14.
detsember 2022) ülevõtmiseks esitada Vabariigi Valitsusele hiljemalt 2024. aasta juuliks4.
Eelnõuga muudetakse:
- Finantsinspektsiooni seadust (edaspidi FIS) redaktsioonis RT I, 06.07.2023, 28;
- finantskriisi ennetamise ja lahendamise seadust (edaspidi FELS) redaktsioonis
RT I, 17.03.2023, 7;
- investeerimisfondide seadust (edaspidi IFS) redaktsioonis RT I, 06.07.2023, 34;
- hoiu-laenuühistute seadust (edaspidi HLÜS) redaktsioonis RT I, 05.05.2022, 12;
- kindlustustegevuse seadust (edaspidi KindlTS) redaktsioonis RT I, 17.03.2023, 12;
- krediidiandjate- ja -vahendajate seadust (edaspidi KAVS) redaktsioonis RT I, 17.03.2023,
13;
- krediidiasutuste seadust (edaspidi KAS) redaktsioonis RT I, 17.03.2023, 17;
- makseasutuste ja e-raha asutuste seadust (edaspidi MERAS) redaktsioonis
RT I, 17.03.2023, 18;
- väärtpaberite registri pidamise seadust (edaspidi EVKS) redaktsioonis RT I, 17.03.2023, 11;
- väärtpaberituru seadust (edaspidi VpTS) redaktsioonis RT I, 06.07.2023, 128.
Eelnõu on seotud järgmiste EL õigusaktidega:
- DORA määrus;
- DORA direktiiv;
- Komisjoni delegeeritud määrus (EL) 2024/8965, millega muudetakse Euroopa Parlamendi
ja nõukogu direktiivi (EL) 2016/97 selliste regulatiivsete tehniliste standardite osas, millega
kohandatakse kindlustus-, edasikindlustus- ja kõrvaltegevusena pakutava kindlustuse
vahendajate ametialase vastutuskindlustuse ning finantssuutlikkuse baassummasid eurodes
(edaspidi kindlustussummade muutmise määrus).
DORA määrus on lisaks seotud järgmiste EL õigusaktidega (vt seletuskirja punkti 2.5):
- Euroopa Parlamendi ja nõukogu direktiiv (EL) 2022/2555, mis käsitleb meetmeid, millega
tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust
(EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks
direktiiv (EL) 2016/1148 (edaspidi NIS2 direktiiv) ja
- Euroopa Parlamendi ja nõukogu direktiiv (EL) 2022/2557, mis käsitleb elutähtsa teenuse
osutajate toimepidevust ja millega tunnistatakse kehtetuks nõukogu direktiiv 2008/114/EÜ
(edaspidi CER direktiiv).
CER direktiivi ülevõtmiseks on Riigikantselei välja töötanud hädaolukorra seaduse ja teiste
seaduste muutmise seaduse eelnõu (edaspidi HOS eelnõu)6. NIS2 direktiivi ülevõtmiseks on
MKM koostamas küberturvalisuse seaduse muutmise seaduse eelnõu.
4 VVTP-s on viide direktiivile (EL) 2022/1556, õige on (EL) 2022/2556. 5 Delegeeritud määrus - EL - 2024/896 - EN - EUR-Lex (europa.eu) 6 https://eelnoud.valitsus.ee/main/mount/docList/ad7af8cd-617c-45f3-b850-78ad002f6a3a
4
Käesoleva eelnõu vastuvõtmiseks on vajalik Riigikogu poolthäälte enamus.
2. Seaduse eesmärk
2.1. Eelnõu algatamise vajalikkus
Seaduse eesmärk on tagada DORA määruse ja DORA direktiivi nõuetekohane riigisisene
rakendamine. Kuivõrd finantsasutused sõltuvad oma igapäevases äritegevuses suurel määral
digitehnoloogia kasutamisest, on oluline, et nad tagavad digitaalse tegevuskerksuse IKT-riski
suhtes.
Kogu finantssektori IKT-riski ja tegevuskerksust hõlmav ELi õigusraamistik on killustunud ega
ole täielikult järjepidev. Kuigi EL tasandil on IKT-riskiga seotud nõudeid (osana
operatsiooniriski nõuetest) käsitletud näiteks Euroopa Parlamendi ja nõukogu direktiivides
2009/65/EÜ7, 2009/138/EÜ8, 2011/61/EL9, 2013/36/EL10, 2014/59/EL11, 2014/65/EL12, (EL)
2015/236613 ja (EL) 2016/234114, on need nõuded väga erinevad ja kohati mittetäielikud. Kuigi
viidatud liidu õigusaktides on käsitletud operatsiooniriski norme põhjalikumalt, on
keskendutud sageli traditsioonilisele kvantitatiivsele riski käsitlevale lähenemisviisile
(kehtestades riski hõlmamiseks kapitalinõuded), mitte sihipärastele kvalitatiivsetele normidele,
millega nähakse ette kaitsmise, avastamise, piiramise, taastamise ja parandamise suutlikkus
IKT-ga seotud intsidentide puhul või teatamise ja digitaalse testimise suutlikkus. Lisaks, kuna
IKT-ga seotud intsidentidest teatamise nõuded ei ole järjepidevad, ei ole ka järelevalveasutustel
täielikku ülevaadet intsidentide laadist, sagedusest, tähtsusest ja mõjust.
Finantsinspektsiooni 2. novembri 2022. aasta pressiteates15 on osutatud, et „väikepankade või
nende teenusepakkujate vastu suunatud küberrünnete hulk kasvas 2021. aastal võrreldes aasta
varasemaga ligi kolm korda. 2022. aasta alguses alanud Ukraina-Vene sõjaga seoses on
rünnakute oht jätkuvalt kõrge nii pankade enda kui ka nende teenuste toimimist mõjutavate
oluliste teenusepakkujate süsteemide vastu. FI-le edastatud info kohaselt hindavad väikepangad
keskmisest kõrgemaks riski, mis on seotud IT tegevuste edasiandmisega. Mida rohkem
kasutavad väikepangad IT-ga seotud tegevustel väliseid partnereid, seda suuremad on ka riskid.
Kuna Eesti pangad pakuvad teenuseid peamiselt läbi e-kanalite, siis on ka e-kanalite
talitluspidevusega seotud riskid keskmisest kõrgemad. Lisaks teatasid mitmed tarkvaratootjad
7 Euroopa Parlamendi ja nõukogu direktiiv 2009/65/EÜ, 13. juuli 2009 , vabalt võõrandatavatesse väärtpaberitesse ühiseks
investeeringuks loodud ettevõtjaid (eurofondid) käsitlevate õigus- ja haldusnormide kooskõlastamise kohta EMPs kohaldatav
tekst 8 Euroopa Parlamendi ja Nõukogu direktiiv 2009/138/EÜ, 25. november 2009 , kindlustus- ja edasikindlustustegevuse
alustamise ja jätkamise kohta (Solventsus II) EMPs kohaldatav tekst 9 Euroopa Parlamendi ja nõukogu direktiiv 2011/61/EL, 8. juuni 2011 , alternatiivsete investeerimisfondide valitsejate kohta,
millega muudetakse direktiive 2003/41/EÜ ja 2009/65/EÜ ning määruseid (EÜ) nr 1060/2009 ja (EL) nr 1095/2010 EMPs
kohaldatav tekst 10 Euroopa Parlamendi ja nõukogu direktiiv 2013/36/EL, 26. juuni 2013 , mis käsitleb krediidiasutuste tegevuse alustamise
tingimusi ning krediidiasutuste ja investeerimisühingute usaldatavusnõuete täitmise järelevalvet, millega muudetakse direktiivi
2002/87/EÜ ning millega tunnistatakse kehtetuks direktiivid 2006/48/EÜ ja 2006/49/EÜ EMPs kohaldatav tekst 11 Euroopa Parlamendi ja nõukogu direktiiv 2014/59/EL, 15. mai 2014 , millega luuakse krediidiasutuste ja
investeerimisühingute finantsseisundi taastamise ja kriisilahenduse õigusraamistik ning muudetakse nõukogu direktiivi
82/891/EMÜ ning Euroopa Parlamendi ja nõukogu direktiive 2001/24/EÜ, 2002/47/EÜ, 2004/25/EÜ, 2005/56/EÜ,
2007/36/EÜ, 2011/35/EL, 2012/30/EL ja 2013/36/EL ning määruseid (EL) nr 1093/2010 ja (EL) nr 648/2012 EMPs kohaldatav
tekst 12 Euroopa Parlamendi ja nõukogu direktiiv 2014/65/EL, 15. mai 2014 , finantsinstrumentide turgude kohta ning millega
muudetakse direktiive 2002/92/EÜ ja 2011/61/EL (uuesti sõnastatud) EMPs kohaldatav tekst 13 Euroopa Parlamendi ja nõukogu direktiiv (EL) 2015/2366, 25. november 2015, makseteenuste kohta siseturul, direktiivide
2002/65/EÜ, 2009/110/EÜ ning 2013/36/EL ja määruse (EL) nr 1093/2010 muutmise ning direktiivi 2007/64/EÜ kehtetuks
tunnistamise kohta (EMPs kohaldatav tekst) 14 Euroopa Parlamendi ja nõukogu direktiiv (EL) 2016/2341, 14. detsember 2016, tööandja kogumispensioni asutuste tegevuse
ja järelevalve kohta (uuesti sõnastatud) (EMPs kohaldatav tekst) 15 https://fi.ee/et/uudised/finantsinspektsioon-suunab-panku-maandama-it-riske
5
eelmisel aastal olulistest turvanõrkustest laialdaselt kasutatavates tarkvarades, millele tuli
pankadel kaasneva riski vältimiseks kiirelt reageerida ning vajalikke meetmeid rakendada“.
Euroopa Süsteemsete Riskide Nõukogu (ESRB) kinnitas süsteemset küberriski käsitlevas 2020.
aasta aruandes16, et finantssektori ettevõtjate, finantsturgude ja finantsturutaristu suur
omavaheline seotus ning eelkõige nende IKT-süsteemide omavaheline sõltuvus võivad
kujutada endast süsteemset nõrkust, sest lokaalsed küberintsidendid võivad kanduda kiiresti EL
mis tahes ühest ligikaudu 22 000 finantssektori ettevõtjast üle kogu finantssüsteemile,
olenemata geograafilistest piiridest. Finantssektoris toimuvad tõsised IKT-ga seotud
rikkumised ei mõjuta ainult üksikuid finantssektori ettevõtjaid. Need soodustavad ka lokaalselt
nõrkuse edasi kandumist finantsülekannete kanaleid pidi ja võivad avaldada negatiivset mõju
EL finantssüsteemi stabiilsusele, näiteks põhjustades likviidsuse väljavoolu ning üldiselt
vähendada kindlustunnet ja usaldust finantsturgudesse.
Ka 2023. aasta ESRB raportis17 on välja toodud, et geopoliitiline olukord on küberohu
keskkonda oluliselt tõstnud.
2.2. Ülevaade finantsasutustele kohalduvatest digitaalse tegevuskerksuse nõuetest
A. IKT-riskide juhtimisraamistik
IKT-risk – mõistlikult tuvastatav asjaolu võrgu- ja infosüsteemide kasutamisel, mis
realiseerumise korral võib seada ohtu:
- võrgu- ja infosüsteemi,
- tehnoloogiast sõltuva vahendi või protsessi,
- operatsiooni ja protsessi toimimise või
- teenuste osutamise turvalisuse,
tekitades kahjulikke mõjusid digitaalses või füüsilises keskkonnas.
IKT-riskide juhtimisraamistiku märksõnad
Tuvasta Finantsasutused määravad kindlaks, liigitavad ja dokumenteerivad
asjakohaselt kõik IKT-põhised ärifunktsioonid, rollid ja vastutusvaldkonnad,
neid funktsioone toetavad teabevara ja IKT-vara ning nende rollid ja
sõltuvuse seoses IKT-riskidega.
Kaitse ja
enneta
Finantsasutused seiravad ja kontrollivad pidevalt IKT-süsteemide ja -
vahendite turvalisust ja toimimist ning minimeerivad IKT-süsteemidele
avalduva IKT-riski mõju. Infoturbe korraga määratakse kindlaks reeglid
andmete, teabevara ja IKT-vara kättesaadavuse, autentsuse, tervikluse ja
konfidentsiaalsuse kaitsmiseks.
Avasta Finantsasutusel peavad olema mehhanismid, mis võimaldavad kohe
avastada anomaalset tegevust, sealhulgas IKT-võrgu jõudluse probleeme ja
IKT intsidente, ning teha kindlaks võimalikud olulised nõrgad lülid.
Reageeri ja
taasta
IKT talitluspidevuse põhimõtte eesmärk on tagada kriitilise tähtsusega või
oluliste funktsioonide jätkumine, reageerida kõigile IKT intsidentidele ja
lahendada need kiiresti; aktiveerida viivitamata piiramis-, reageerimis- ja
taastemeetmed, hinnata mõju ning rakendada kommunikatsiooni- ja
kriisijuhtimismeetmed. Finantsasutusel on kehtestatud IKT talitluspidevuse,
reageerimis- ja taastekavad. Raamistiku osana töötatakse välja
16 https://www.esrb.europa.eu/pub/pdf/reports/esrb.report200219_systemiccyberrisk~101a09685e.en.pdf 17https://www.esrb.europa.eu/pub/pdf/reports/esrb.macroprudentialtoolscyberresilience220214~984a5ab3a7.en.pdf?888a06f
cb36d2c1ce41594efd67a4c88
6
varunduspõhimõtted ja -menetlused, ennistamise ja taastamise menetlused ja
meetodid, tagamaks IKT-süsteemide ja andmete ennistamine minimaalse
seisuaja, piiratud katkestuse ja kaoga.
Õpi ja arene Finantsasutusel peab olema suutlikkus ja personal, et koguda teavet
nõrkuste, küberohtude ja IKT intsidentide, eelkõige küberrünnete kohta,
ning analüüsida mõju, mida need võivad avaldada nende digitaalsele
tegevuskerksusele. Personali koolituskavade raames töötatakse välja
kohustuslike moodulitena IKT-turbe teadlikkuse suurendamise programmid
ja digitaalse tegevuskerksuse koolituse. Jälgida tuleb pidevalt ka tehnoloogia
arengut, muu hulgas selleks, et mõista uue tehnoloogia võimalikku mõju IKT
turvanõuetele ja digitaalsele tegevuskerksusele.
Suhtle Finantsasutus koostab kriisikommunikatsioonikavad, mis võimaldavad teha
klientidele ja vastaspooltele ning kohasel määral ka üldsusele
vastutustundlikult teatavaks vähemalt tõsiseid IKT intsidente või nõrkusi.
Personali kommunikatsioonipoliitikas võetakse arvesse vajadust eristada
töötajaid, kes osalevad IKT-riski juhtimises (eelkõige reageerimise ja taaste
eest vastutavaid töötajaid), ja töötajaid, keda tuleb teavitada.
B. IKT-ga seotud intsidendid ja küberohud ning nendest teavitamine
IKT-ga seotud
intsident
Finantsasutuse poolt planeerimata üksiksündmus või omavahel seotud
sündmuste jada, mis seab ohtu võrgu- ja infosüsteemide turvalisuse ning
mis avaldab negatiivset mõju andmete konfidentsiaalsusele,
kättesaadavusele, terviklusele ja autentsusele või finantssektori ettevõtja
osutatavatele teenustele.
Tõsine IKT-ga
seotud intsident
IKT-ga seotud intsident, millel on suur negatiivne mõju võrgu- ja
infosüsteemidele, mis toetavad finantssektori ettevõtja kriitilise
tähtsusega või olulisi funktsioone.
Küberoht Võimalik asjaolu, sündmus või tegevus, mis võib kahjustada või häirida
võrgu- ja infosüsteeme, nende kasutajaid ja teisi isikuid või neile muul
viisil halba mõju avaldada.
Oluline
kübeoht
Küberoht, mille tehnilised tunnused näitavad, et selle tulemuseks võib
olla IKT-ga seotud oluline intsident või tegevust või turvalisust mõjutav
maksetega seotud oluline intsident.
Finantsasutuse
kohustus:
- teavitada koheselt kliente, kui intsident neid mõjutab (finantshuvi);
- teavitada viivitamata FI-d, mille alusel FI hindab intsidendi tähtsust
ja piiriülest mõju (liikmesriigi valik – CSIRTi teavitamine);
- edastada FI-le vaheraport ja lõppraport, sealjuures vaheraport tuleks
esitada niipea, kui algse intsidendi staatus on oluliselt muutunud või
intsidendi käsitlemine on uue kättesaadava teabe põhjal muutunud.
Lõppraport esitatakse, kui analüüs on lõpule viidud, kuid see ei eelda,
et kõiki maandamismeetmeid on juba ka rakendatud.
- saab otsustada olulise küberohu korral ise, kas teavitab kliente ja
pädevaid asutusi.
FI kohustus: - teavitada finantsasutust, et ta on teate kätte saanud.
- teavitada intsidendist Euroopa Järelevalveasutusi (ESA-sid), Euroopa
Keskpanka (EKP) (asjakohasel juhul), riiklikke pädevaid asutusi,
CSIRTe, kriisilahendusasutusi ja muid asutusi vastavalt riigisisesele
õigusele.
FI võib:
- esitada tagasiside või anda kõrgetasemelisi suuniseid
finantsasutusele, tehes eelkõige kättesaadavaks asjakohast
7
anonüümitud teavet ja teadmust sarnaste ohtude kohta, ning võib
arutada parandusmeetmeid, mida kohaldatakse finantsasutuse
tasandil, ja viise negatiivse mõju minimeerimiseks ja leevendamiseks
kogu finantssektorile.
C. Digitaalse tegevuskerksuse testimine
Milleks
testitakse?
IKT-riskide juhtimisraamistiku osana tuleb luua digitaalse
tegevuskerksuse testimise kava, selleks et:
- hinnata valmisolekut intsidentide käsitlemiseks;
- tuvastada nõrgad kohad ja puudused süsteemides ja inimressursis;
- rakendada vajadusel parendusmeetmeid.
Kuidas
testitakse?
Finantsasutus peab läbi viima järgmised testimised:
- nõrkuse hindamised ja skaneerimised;
- avatud lähtekoodiga tarkvara analüüsid;
- võrguturvalisuse hindamised;
- lünkade analüüsid;
- füüsilise turvalisuse läbivaatamised;
- küsimustikud ja skaneerimistarkvara lahendused;
- võimaluse korral lähtekoodi ülevaatus;
- stsenaariumipõhised testid;
- ühilduvuse testimine ja jõudlustestid;
- läbiv- ja läbistustestimine;
- jne.
Mida/keda
testitakse?
Testitakse nii süsteeme, IKT-vahendeid jne, aga ka töötajaid.
Mis on
süvatestimine?
IKT süsteemide, protsesside ja vahendite süvatestimine:
- ohuteabel põhinev läbistustestimine (küberrünnete matkimine);
- iga 3a tagant (pädev asutus võib sagedust muuta);
- pädev asutus määrab testimises osalevad finantsasutused (välistatud
mikroettevõtjad ja need, kes kuuluvad leebema IKT riskijuhtimise
režiimi alla);
- testimine toimub live keskkonnas;
- lubatud nii välised testijad kui ka teatud tingimustel sisetestijad;
- testis osalevad ka kolmandast isikust IKT teenuseosutajad;
- Single public authority (LR võib määrata ühe asutuse, kes vastutab
testimisega seotud teemade eest);
- testimise tulemustest teavitatakse seda asutust, kes omakorda väljastab
tõendi, et testimine oli nõuetekohane.
D. Kolmanda isikuga seotud IKT-riskide juhtimine (IKT-teenuseosutajad)
Põhilised nõuded seoses kolmanda isikuga seotud IKT-riskide juhtimisega:
- nõuded IKT-teenuse edasiandmisele/lepingutele (uutele);
- teaberegister lepingute kohta, sealjuures eristades kriitilise tähtsusega või olulisi
funktsioone toetavaid IKT-teenuseid käsitlevaid lepinguid muudest lepingutest;
- FI teavitamine – kord aastas uutest lepingutest ning kohene teavitus lepingu kavatsusest,
kui IKT-teenus toetab kriitilise tähtsusega või olulisi funktsiooni;
- infoturbestandarditele vastavus. Finantsasutus võib sõlmida lepingu IKT
teenuseosutajaga, kes vastab asjakohastele infoturbestandarditele. Rangemad nõuded
teenuseosutajale, kui teenus toetab kriitilise tähtsusega ja olulisi funktsioone.
- väljumisstrateegia (alternatiivid teenuseosutaja kiireks asendamiseks);
8
- peamised lepingutingimused – teenuste kirjeldus, teenuse osutamise ja andmete
talletamise asukoht, isikuandmete kaitse, tähtajad ja kohustused, kohustus pakkuda selle
teenuseosutajaga seotud intsidendi korral tasuta või eelnevalt kokkulepitud hinnaga abi,
õigus jälgida teenusosutaja tegevust, kohustus teha koostööd pädeva asutusega, lepingu
lõpetamise õigused, väljumisstrateegiad, osalemine testimisel jne;
- eraldi ametikoht;
- kui lepingud on tehniliselt väga keerukad, kontrollib finantsasutus, kas audiitoritel on
piisavad oskused ja teadmised asjaomaste auditite ja hindamiste tõhusaks läbiviimiseks.
E. Järelevaatamine kriitilise tähtsusega kolmandast isikust IKT teenuseosutaja üle
Kuivõrd tegevuse edasiandmise ja kolmandast isikust IKT teenuseosutajate kontsentratsiooniga
võib kaasneda potentsiaalne süsteemne risk ning kuna riiklikud mehhanismid ei ole piisavad,
et tagada finantsjärelevalveasutustele asjakohased vahendid kriitilise tähtsusega kolmandast
isikust IKT teenuseosutajate IKT-riskide tagajärgede kvantifitseerimiseks, kvalifitseerimiseks
ja leevendamiseks, on DORA määrusega kehtestatud järelevaatamisraamistik, mis võimaldab
finantsjärelevalveasutustel pidevalt seirata selliste teenuseosutajate tegevust.
Järelvaatamisfoorum
(Oversight Forum)
Määrab, milline IKT teenuseosutaja on kriitilise tähtsusega.
Määrab igale kriitilise tähtsusega teenuseosutajale juhtiva
järelevaatamisasutuse, kelleks on üks ESA-dest.
Juhtiv
järelevaatamisasutus
(Lead Overseer)
Hindab, kuidas IKT teenuseosutaja juhib nõuetekohaselt IKT
riske, millel võib olla mõju finantsasutusele.
IKT teenuseosutajate peamine kontaktpunkt.
Võtab vastu koostöös järelevaatamisvõrgustikuga
järelevaatamise plaani iga kriitilise teenuseosutaja kohta.
Küsib IKT teenuseosutajalt teavet, aruandeid, annab soovitusi.
Viib läbi uurimisi ja kontrolle (moodustatakse joint examination
team).
Saab määrata IKT teenuseosutajale karistusi.
Järelevaatamisvõrgustik
(Joint Oversight
Network)
Võrgustikku kuuluvad kolm juhtivat järelevaatamisasutust ehk
kõik ESA-d.
Järelevaatamise koordineerimine ja rakendatavate õiguste
ühtlustamine.
F. DORA rakendamiseks vajalikud regulatiivsed ja rakenduslikud standardid
Kuna DORA määrust hakkavad täiendama ESA-de poolt välja töötatud regulatiivsed ja
rakenduslikud tehnilised standardid, on järgnevalt esitatud, mis kuupäevadeks peavad ESA-d
vastavate standardite eelnõud Euroopa Komisjonile esitama. Standardite eelnõud peaksid
aitama finantsasutustel DORA rakendamiseks vajalikke ettevalmistusi paremini planeerida
juba enne DORA rakendumistähtaega.
17. jaanuar
2024. a.
- IKT juhtimisraamistiku nõuete täpsustamine (art 15).
- Lihtsustatud IKT juhtimisraamistiku nõuete täpsustamine (art 16).
9
- IKT intsidentide liigitamise kriteeriumid, oluliste küberohtude
kindlaksmääramise kriteeriumid ja tõsiste IKT intsidentide olulisuse
hindamise kriteeriumid teistele pädevatele asutustele (art 18).
- Teaberegistri standardvorm, üksikasjad seoses kolmanda isikuga seotud
lepingutega, mis käsitlevad kriitilisi ja olulisi funktsioone toetavaid IKT
teenuseid (art 28).
17. juuli
2024. a.
- IKT intsidentide teavitamise vormid ja menetlused, raportite sisu ja
esitamise tähtajad, küberohtusid käsitletava teabe sisu (art 20).
- Süvatestimise kohaldamisala kriteeriumid, nõuded sisetestijatele,
testimismetoodika ja meetodid, testimise etapid, koostöö vastastikuse
tunnustamise jaoks (art 26).
- IKT teenuseosutaja alltöövõtulepinguga seotud tingimused (art 30).
- Järelevaatamise tingimused, sh kriitilisele IKT teenuseosutajale (art 41).
2.3. Väljatöötamiskavatsus ja valikukohad
2.3.1. Väljatöötamiskavatsus
Väljatöötamiskavatsust ei ole koostatud tulenevalt hea õigusloome ja normitehnika eeskirja §
1 lõike 2 punktist 2, kuivõrd eelnõu käsitleb EL õiguse rakendamist.
DORA määruse ja direktiivi eelnõuga koos koostas Euroopa Komisjon mõjuanalüüsi18:
„Impact assessment report – Accompanying the Document – Proposal for a Regulation of the
European Parliament and of the Council on digital operational resilience for the financial sector
and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014 and
(EU) No 909/2014.“
2.3.2. Valikukohad
A. DORA määruse valikukoht 1. Tõsistest IKT-ga seotud intsidentidest teavitamine ja
olulistest küberohtudest teavitamine.
Art 19 lg 1. „Finantssektori ettevõtjad teavitavad tõsistest IKT intsidentidest artiklis 46
osutatud asjaomasele pädevale asutusele kooskõlas käesoleva artikli lõikega 4. /…./ Ilma et see
piiraks finantssektori ettevõtja poolset esimese lõigu kohast asjaomase pädeva asutuse
teavitamist, võivad liikmesriigid lisaks otsustada, et mõned või kõik finantssektori ettevõtjad
esitavad pädevale asutusele või küberturbe intsidentide lahendamise üksustele, mis on määratud
või loodud direktiivi (EL) 2022/2555 kohaselt19, ka esialgse teate ja kõik raportid, millele on
osutatud käesoleva artikli lõikes 4, kasutades artiklis 20 osutatud vorme.“
Art 19. lg 2. „Finantssektori ettevõtjad võivad vabatahtlikult teatada asjaomasele pädevale
asutusele olulistest küberohtudest, kui nad peavad ohtu finantssüsteemi, teenusekasutajate või
klientide jaoks oluliseks. /…/ Liikmesriigid võivad otsustada, et need finantssektori ettevõtjad,
kes teatavad vabatahtlikult esimese lõigu kohaselt, võivad kõnealuse teate edastada ka direktiivi
(EL) 2022/2555 kohaselt määratud või loodud küberturbe intsidentide lahendamise üksustele.“
DORA määruse põhjenduspunktis 52 on selgitatud, et „lisaks peaks liikmesriikidel olema
võimalik kindlaks määrata, et finantssektori ettevõtjad peaksid ise esitama sellist teavet avaliku
sektori asutustele, mis ei kuulu finantsteenuste valdkonda. Need teabevood peaksid
18 https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52020SC0198 19 NIS2 direktiiv
10
võimaldama finantssektori ettevõtjatel kiiresti saada kasu kõnealuste asutuste asjakohasest
tehnilisest panusest, nõuannetest parandusmeetmete kohta ja edasistest järelmeetmetest.“
Vabariigi Valitsuse 17. detsembri 2020. aasta istungil kiideti heaks Eesti seisukohad EL
digirahanduse paketi kohta20, sealhulgas finantsteenuste digitaalse tegevuskerksuse
regulatsiooni kohta. Muu hulgas kiideti heaks seisukoht, et DORA määruse ettepanekus
kavandatud teavitamisnõuded peavad olema piisavalt paindlikud, et nõudeid saaks riigid
erinevate institutsionaalsete struktuuride korral ja teavitamiskohustusega subjektide suhtes
halduskoormust suurendamata säästlikult rakendada, sealhulgas järgides ühekordse teabe
edastamise või küsimise põhimõtet, et operatiivne info küberintsidendi kohta vajalikus ulatuses
ja mahus jõuaks viivitusteta asjaomaste riiklike pädevate asutusteni, sealhulgas küberturbe
intsidentide lahendamise üksuseni.
Tulenevalt DORA määruses ette nähtud liikmesriigi võimalusest, valitsuse positsioonist ja
huvirühmadega konsulteerimisel esitatud seisukohtades, on eelnõus võetud lähenemine, et
finantsasutus teavitab tõsistest intsidentidest ühekordse edastamisviisiga nii FI-d kui ka RIA-t,
kasutades selleks sama teavitusvormi (sama teavitusnormi kasutamine tuleb määrusest). Lisaks,
kui finantsasutus on otsustanud teavitada FI-d olulisest küberohust, teavitab ta sellest ka RIA-
t.
B. DORA määruse valikukoht 2. Ohutabel põhineva läbistustestimise eest vastutav riiklik
asutus.
Art 26 lg 9. „Liikmesriigid võivad määrata finantssektoris ühe avaliku sektori asutuse, kes
vastutab riiklikul tasandil ohuteabel põhineva läbistustestimisega seotud küsimuste eest
finantssektoris, ning annavad talle kõik selleks vajalikud volitused ja ülesanded.“
Põhjenduspunkt 58 selgitab lisaks, et selleks, et tugineda teatavate pädevate asutuste poolt juba
omandatud eksperditeadmistele, eelkõige seoses TIBER-EU raamistiku rakendamisega, peaks
määrus võimaldama liikmesriikidel määrata ühe avaliku sektori asutuse, kes vastutab riiklikul
tasandil kõigi ohuteabel põhinevate läbistustestidega seotud küsimuste eest finantssektoris, või
pädevad asutused, kes sellise määramise puudumisel delegeeriksid ohuteabel põhinevate
läbistustestidega seotud ülesannete täitmise mõnele muule riiklikule finantssektori pädevale
asutusele.
Kuna üldine printsiip on, et FI on järelevalve eest vastutav asutus finantssektoris (mh IT/küber
küsimused, mis on tavapärane järelevalveline osa), siis on ka eelnõu koostamisel võetud
lähenemine, et artikli 26 lõike 9 kohaselt ei määrata eraldi asutust, kes vastutab ohuteabel
põhinevate läbistustestidega seotud küsimuste eest finantssektoris, kuid koostöösätetega
tagatakse, et FI teeb RIA-ga koostööd, muu hulgas seoses finantsasutuste ohuteabel põhinevate
läbistustestimistega. Võttes arvesse RIA küberkerksuse kompetentsi ning asjaolu, et tegemist
on KüTS kohaselt ka küberturvalisuse pädeva asutusega, on oluline tagada hea ja sujuv koostöö,
et finantsasutuste testimised viiakse läbi nõuetekohaselt ja tänu teabe vahetamisele on asutustel
olemas kogu vajalik teave nii testide läbiviimise kui ka tulemuste kohta.
Siinjuures on oluline juhtida tähelepanu asjaolule, et kuna oluliste krediidiasutuste puhul on
pädevaks asutuseks Euroopa Keskpank, kelle järelevalve alla kuulub 1. märtsi 2023. a seisuga
110 institutsiooni, neist 4 Eesti krediidiasutust ning süvatestimise kohustus on eelkõige olulistel
20 https://eelnoud.valitsus.ee/main/mount/docList/c969654c-9691-4b71-abb1-7baa3e665d13
11
krediidiasutustel21, siis artikli 26 lõike 9 kohaselt muu vastutava asutuse määramine teatud
ülesannete täitmiseks võib pigem järelevalve rolli, õigusi ja terviklikkust hägustada.
C. DORA määruse valikukoht 3. Hoiu-laenuühistutele DORA kohaldamine.
Art 2 lg 4. „Liikmesriigid võivad käesoleva määruse kohaldamisalast välja arvata direktiivi
2013/36/EL artikli 2 lõike 5 punktides 4–23 osutatud üksused, mis asuvad nende vastaval
territooriumil. Kui liikmesriik otsustab vastavale asutusele DORA määrust kohaldada, siis
kohaldub neile IKT-riskide juhtimisraamistiku lihtsustatud režiim.“
Direktiivi 2013/36/EL artikli 2 lõike 5 punktis 6 on viidatud Eesti puhul hoiu-laenuühistutele,
mis on hoiu-laenuühistu seaduse kohaselt tunnustatavad ühistud.
Seega kohalduvad DORA määruses sätestatud digitaalse tegevuskerksuse nõuded mh hoiu-
laenuühistutele ning vaid juhul, kui liikmesriik otsustab rakendada DORA määruse artikli 2
lõike 4 valikut, jäävad hoiu-laenuühistud DORA määruse alt välja. Konsulteerides
huvirühmadega, selgus, et DORA nõuete kohaldamine hoiu-laenuühistutele oleks asjakohane,
kuid see eeldaks, et nad on finantsjärelevalve subjektid. Kuna hoiu-laenuühistud ei ole
finantsjärelevalve subjektid, on nende suhtes keeruline DORA määruse nõudeid kohaldada,
kuna suur osa sätteid on seotud pädeva asutuse rolliga (intsidentidest teavitamine jne), mistõttu
on käesoleva eelnõu puhul võetud lähenemine, et käesoleval hetkel nende suhtes DORA
määruse nõuded ei kohaldu.
Samas, kui liikmesriik otsustab hoiu-laenuühistu jätta DORA määruse kohaldamisalasse, siis
DORA määruses sätestatud nõuete täitmise üle peaks määruse artikli 46 kohaselt järelevalvet
teostama sama asutus, kes on ka krediidiasutuse pädev asutus ehk selleks peaks olema FI.
Eelnõu väljatöötamisel oli kaalumisel ka variant, et kui hoiu-laenuühistud jätta DORA määruse
kohaldamisalast välja, siis alternatiivina oleks võimalik neile ka KüTS küberturvalisuse
nõudeid kohaldada ja RIA oleks sellisel juhul pädevaks asutuseks. Siiski on ka NIS2 direktiivi
artikli 2 lõikes 10 sätestatud, et käesolevat direktiivi ei kohaldata üksuste suhtes, mille
liikmesriigid on kooskõlas määruse (EL) 2022/2554 artikli 2 lõikega 4 kõnealuse määruse
kohaldamisalast välja jätnud.
Kuna hoiu-laenuühistute seaduseelnõu22 menetlus on veel pooleli, siis hetkel on võetud
lähenemine, et hoiu-laenuühistutele ei kohaldata DORA nõudeid. Oluline on siinjuures
tähelepanu juhtida asjaolule, kui hoiu-laenuühistust peaks saama ühistupank, siis kohalduvad
talle viidatud seaduseelnõu kohaselt KAS nõuded, mis hõlmavad endas ka kohustust rakendada
DORA määruses sätestatud nõuded.
D. DORA määruse valikukoht 4. Kriminaalkaristused
Art 52 lg 1. Liikmesriigid võivad otsustada mitte kehtestada halduskaristusi või
parandusmeetmeid käsitlevaid õigusnorme selliste rikkumiste suhtes, mille suhtes kohaldatakse
nende riiklikus õiguses kriminaalkaristusi.
21 See veel selgub, millised finantsasutused peavad süvatestimisi läbi viima, kuid eelduslikult on nendeks näiteks olulised
pangad ja börs. 22 https://eelnoud.valitsus.ee/main/mount/docList/db5ae432-6d08-4896-972c-101c32e9d2ce
12
Kuna analoogne liikmesriigi otsustuskoht on ka teistest EL finantssektori direktiivides ja
määrustes ning Eesti puhul on võetud lähenemine mitte seda valikut rakendada, siis on otsustad
ka käesoleva eelnõu raames jääda sellise lähenemise juurde.
E. DORA pädev asutus
Tegemist ei ole liikmesriigi valikukohaga, kuid huvirühmadega konsultatsiooni käigus tõstatus
teema, milline asutus on pädev asutus DORA määruses sätestatud ülesannete täitmisel ja
järelevalve teostamisel.
DORA järelevalvet on määratud teostama finantsjärelevalve asutus - DORA pädev asutus on määratletud DORA määruse artiklis 46;
- tegemist on sama asutusega, kes teostab finantsjärelevalvet finantsasustuse üle;
- DORA määruse artiklis 46 on viited finantssektori EL direktiividele ja määrustele, mis
reguleerivad finantsasutuste tegevust ja järelevalvet. Liikmesriik on pidanud määrama
pädeva asutuse, kes teostab EL finantssektori direktiivides ja määrustes sätestatud nõuete
täitmise üle järelevalvet;
- Eestis teostab artiklis 46 viidatud EL direktiivides ja määrustest sätestatud nõuete täitmise
üle järelevalvet FI. Oluliste krediidiasutuste puhul on pädevaks asutuseks Euroopa
Keskpank;
- selleks, et muu asutuse (nt RIA) saaks määrata DORA pädevaks asutuseks, tuleks Eestis
finantsjärelevalve korraldus ümber teha.
Eesti finantsjärelevalve korraldust ei ole käesoleva eelnõu raames muudetud
- Eestis on finantssektori järelevalvealane kompetents antud täies mahus FI-le;
- DORA määruse väljatöötamisel liidus otsustati määrata pädevaks asutuseks sama asutus,
kes vastutab finantsjärelevalve eest finantssektoris, tagades sedasi, et finantsjärelevalve
asutusel on tervikpilt kõikidest finantssektori riskidest, sh IKT-riskidest;
- IKT-riskide juhtimine on osa finantsasutuse riskijuhtimissüsteemist. Riskipõhiste
kapitalinõuete puhul ka osa kapitalijuhtimisest, mistõttu ei saa finantsasutuse küberriske
vaadelda eraldiseisvalt, vaid see moodustab koos teiste riskide ja finantsasutuse
tegevusvaldkondadega terviku;
- IKT- riskide järelevalve on oluline osa finantsasutuse operatsiooniriskide järelevalvest;
- IKT-teenuste edasiandmine on osa finantsasutuse teenuste ja tegevuste edasiandmise
raamistikust;
- finantssektor on terviklik, mida tuleb vaadelda kompaktselt ning järelevalve pädevuse
jagamisega teatud valdkondades ei ole võimalik tagada finantssektori järjepidevust,
stabiilsust ja usaldusväärsust;
- IKT-d ja selle raames küberturvalisuse põhimõtete rakendamist tuleb vaadelda kui tehnilist
lahendust ja üht valdkonda mitmekülgsest finantssektorist;
- FI-l on olemas finantssektori eripärade tundmine ja vajalike järelevalveliste meetmete
rakendamisel parim teadmine, sealhulgas teadmised, millised on konkreetse subjekti puhul
just need asjakohased meetmed, mis on piisavad ühelt poolt rikkumiste kõrvaldamiseks,
kuid teiselt poolt ei seaks rakendatavad meetmed ohtu finantssektori korrapärast toimimist
ja klientide huve;
- FIS § 3 kohaselt teostab Finantsinspektsioon riiklikku finantsjärelevalvet finantssektori
stabiilsuse, usaldusväärsuse ja läbipaistvuse ning toimimise efektiivsuse suurendamise,
süsteemsete riskide vähendamise ning finantssektori kuritegelikel eesmärkidel
ärakasutamise tõkestamisele kaasaaitamise eesmärgil, et kaitsta klientide ja investorite huve
nende vahendite säilimisel ning seeläbi toetada Eesti rahasüsteemi stabiilsust;
13
- määrates muu asutuse finantsjärelevalve pädevaks asutuseks, ei pruugi sellel asutusel olla
teadmisi finantssektori eripäradest ning tõhusatest, efektiivsetest ja tulemuslikuks
järelevalve teostamiseks vajalikest mitmetahulistest ja terviklikest protsessidest.
Näide järelevalve terviklikkuse kohta:
- näide 1. Krediidiasutuste tegevus on reguleeritud direktiivis 2013/36/EL. Direktiivi
artikli 74 lõike 1 kohaselt: „Finantsinstitutsioonidel peab olema kindel äriühingu juhtimise
korraldus, mis hõlmab selget organisatsioonilist ülesehitust, mille puhul vastutusalad on
selgesti määratletud, läbipaistvad ja järjepidevad, tõhusaid protseduure riskide või
võimalike riskide kindlaksmääramiseks, juhtimiseks, jälgimiseks ja nendest teatamiseks,
piisavat sisekontrollikorda, sealhulgas usaldusväärne juhtimis- ja raamatupidamiskord,
võrgu- ja infosüsteeme, mis on loodud ja mida hallatakse kooskõlas määrusega (EL)
2022/2554, ning tasustamispoliitikat ja -tavasid, mis on kooskõlas usaldusväärse ja tõhusa
riskijuhtimisega ja edendavad seda.“
- näide 2. Direktiivi 2014/65/EL artikli 16 lõike 4 kohaselt: „ Investeerimisühing võtab
mõistlikke meetmeid, et tagada investeerimisteenuste osutamise ning investeerimistegevuse
järjepidevus ja korrapärasus. Selleks kasutab investeerimisühing sobivaid ja
proportsionaalseid süsteeme, sealhulgas info- ja kommunikatsioonitehnoloogia (IKT)
süsteeme, mis on loodud ja mida hallatakse Euroopa Parlamendi ja nõukogu määruse (EL)
2022/2554 artikli 7 kohaselt, samuti sobivaid ja proportsionaalseid ressursse ja
protseduure.“
- näide 3. Makseasutuste direktiivi artikli 19 lõike 6 kohaselt ei või oluliste tööülesannete,
sealhulgas IKT-süsteemide edasiandmine toimuda viisil, mis kahjustab oluliselt
makseasutuse sisekontrolli kvaliteeti ja pädevate asutuste võimet kontrollida ja jälgida, et
makseasutused täidavad kõiki selles direktiivis sätestatud kohustusi.
- näide 4. Kindlustusdirektiivi 2009/138/EÜ artikli 41 kohaselt võtavad kindlustus- ja
edasikindlustusandjad vajalikud meetmed, et tagada oma ülesannete täitmisel, sealhulgas
eriolukordi käsitlevate plaanide väljatöötamisel, järjepidevus ja korrapärasus. Kindlustus-
ja edasikindlustusandjad kasutavad selleks asjakohaseid ja proportsionaalseid süsteeme,
ressursse ja menetlusi ning loovad eelkõige võrgu- ja infosüsteemid ja haldavad neid
kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) 2022/2554
- näidete kohaselt ei ole FI-l võimalik teostada krediidiasutuse juhtimise korralduse,
investeerimisühingu ja kindlustusandja süsteemide ning makseasutuse tegevuste
edasiandmise nõuete üle terviklikku järelevalvet, jättes järelevalvest välja võrgu- ja
infosüsteemide järelevalve.
- analoogsed näited on finantssektori EL õigusaktides veel.
Finantssektori IKT-riskide järelevalve seni:
- nagu eespool osutatud, on IKT riskid osa finantssektori riskijuhtimisest ning FI on IKT-
riskide alast järelevalvet teostanud aastataid;
- finantsasutused on pidanud aastaid järgima FI kehtestatud nõudeid finantsjärelevalve
subjekti infotehnoloogia ja infoturbe korraldusele23, nõudeid finantsjärelevalve subjekti
talitluspidevuse korraldusele, EBA suuniseid IKT- ja turvariskide juhtimiseks24 ning
23 https://www.fi.ee/sites/default/files/2020-
06/N%C3%B5uded%20finantsj%C3%A4relevalve%20subjekti%20infotehnoloogia%20ja%20infoturbe%20korraldusele_%2
0kinnitatud.pdf 24 https://fi.ee/sites/default/files/2020-
03/pp%20nr%2008%20Final%20draft%20Guidelines%20on%20ICT%20and%20security%20risk%20management_COR_E
T.pdf
14
EIOPA info- ja kommunikatsioonitehnoloogia turbe- ja juhtimissuuniseid25 ja pilveteenuse
osutajatele tegevuse edasiandmise suunised26. Nõuete täitmise üle teostab järelevalvet FI;
- DORA on suures ulatuses koostatud viidatud EBA ja EIOPA suuniste baasilt ning FI-l on
praktika ja protsessid loodud vastava järelevalve teostamiseks;
- seega ei ole IKT-riskide järelevalve ja DORA määrusest tulenevad nõuded FI jaoks midagi
uut;
- FI järelevalveprotsesside ja -vahendite hulka kuuluvad mh SREP27 hinnangud, erinevad
analüüsid, kohapealsete kontrollide läbiviimine, koostöö Euroopa järelevalveasutustega ja
vastavates töögruppides osalemine ning teabe ja praktika jagamine jne;
- FI enda hinnangul võib senist järelevalvet hinnata edukaks, kuna antud perioodil puuduvad
täielikult olulise mõjuga suuremad intsidendid, mis oleks tulenenud küberriski
realiseerumisest finantssektoris;
- FI on alustanud DORA määruse rakendamiseks vajalike esmaste tegevuste ja protsessidega,
et DORA määruse nõudeid veelgi edukamalt rakendada.
Puudub mõjuanalüüs finantsjärelevalve korralduse ümber tegemise kohta
- finantssektor järelevalves ümberkorralduste tegemine eeldab põhjalikku mõjuanalüüsi,
sealhulgas seoses mõjuga riigieelarvele;
- RIA-le finantsjärelevalves osalise pädevuse andmine omab olulist mõju riigieelarvele
(riigieelarve suurendamine), kuna tuleb arvestada täiendavate kuludega (RIA järelevalve
alla kuuluks ligemale 100 finantsasutust, sh krüptovarateenuse osutajad);
- RIA hakkaks kuuluma Euroopa järelevalvesüsteemi28, olles pädev asutus EBA, EIOPA ja
ESMA määruste tähenduses29 ja kohustudes järgima viidatud määrustes pädevatele
asutustele kohalduvaid nõudeid, sealjuures täitma EBA, EIOPA ja ESMA suuniseid ja
soovitusi, esitama EBA-le, EIOPA-le ja ESMA-le regulaarselt teavet nende ülesannete
täitmiseks ning osalema EBA, EIOPA ja ESMA töögruppides;
- seega, lisaks kulude suurenemisega seoses DORA nõuete järelevalvega, kaasnevad
täiendavad kulud seoses kuulumisega Euroopa järelevalvesüsteemi. EBA, EIOPA ja ESMA
eelarve moodustub osaliselt pädevate asutuste osamaksetest;
- samuti moodustatakse DORA alusel tekkiva kriitilise tähtsusega kolmandast osapoolest
IKT teenuseosutajate liiduülese järelevaatamise kohustuse täitmiseks vastav järelevalve just
finantssektori järelevalveasutuste ressurssidest;
- kui jätkata olemasolevat finantsjärelevalve poliitikat, kus finantssektori järelevalve
teostamine on vaid FI pädevuses, mõju riigieelarvele puudub;
- Eestis kehtiva finantssektori rahastusmudeli puhul maksavad järelevalvesubjektid
järelevalvetasu FI-le ja seeläbi finantseerivad järelevalve teostamist;
- finantssektori järelevalvekorralduse ümber tegemise korral tuleks riigieelarvet kasutada ka
finantsjärelevalve eesmärkide realiseerimiseks. Viimaste tarbeks ongi loodud eelnevalt
kirjeldatud rahastusmudel, mis ei sõltu riigieelarve vahenditest.
Teised riigid
- teadaolevalt ka teiste Euroopa riikide (nt Läti, Leedu ja Soome) korral DORA pädevaks
asutuseks just finantsjärelevalve asututus;
25 https://fi.ee/sites/default/files/2021-06/pp%20nr%2006%20eiopa-gls-ict-security-and-governance-et.pdf 26 https://fi.ee/sites/default/files/2020-
06/pp%20nr%2003%20Guidelines%20on%20outsourcing%20to%20cloud%20service%20providers%20-%20ET.pdf 27 Supervisory review 28 https://www.europarl.europa.eu/factsheets/et/sheet/84/euroopa-finantsjarelevalve-susteem 29 EBA määruse näitel on pädevad asutused määratletud artikli 4 punktis 2 ehk kui määrata näiteks RIA määruse (EL) nr 575/2013 artikli 4 lõike 1 punkti 40 kohaselt kaas pädevaks asutuseks, oleks RIA pädev asutus ka EBA
määruse tähenduses. Sama on EIOPA ja ESMA määrustega.
15
- kogu Euroopa mudel on üles ehitatud selliselt, et pädev asutus on finantsjärelevalveasutus
ning hetkel ei ole teada ühtegi näidet, kus sedalaadi pädevus viiakse ära finantsjärelevalve
asutusest;
- finantsjärelevalveasutusi koondavad töögrupid, erinevad (kriisi)harjutused jne lähtuvad just
sellest põhimõttest, et finantssektori pädev järelevalveasutus on pädevaks asutuseks ka
DORA määruse alusel.
Koostöö
- DORA määrus näeb ette mitmeid võimalusi koostööks NIS2 pädeva asutusega;
- eelnõus on ette nähtud uus FIS paragrahvi, mis reguleerib koostööd küberturvalisuse
valdkonnas (vt selgitusi FIS § 4711 juures), mis annab võimaluse kaasata DORA nõuete
järelevalvesse ka RIA, nähes muu hulgas ette teabe vahetamise õigused;
- teavitused tõsistest IKT-intsidentidest edastatakse mh RIA-le (vt valikukoht 1) ning DORA
ei piira RIA võimalusi abistada finantsasutusi, sealjuures on DORA määruse artikli 22 lõike
1 sissejuhatavas osas selge viide, et NIS2 pädeva asutus saab vastavalt liikmesriigi õigusele
pakkuda finantsasutusele tehnilist panust, nõuandeid või parandusmeetmeid ning
järelmeetmeid;
- seega on RIA kaasatud oma küberturbe pädevusega finantssektori järelevalvesse.
2.4. Sihtrühm
Sihtrühma kuuluvad Eestis tegevusloa või registreeringu alusel tegutsevad finantsasutused.
Tabelis 1 on välja toodud DORA määruse kohaldamisalasse kuuluvad ja mitte kuuluvad
finantsasutused, Eestis asutatud finantsasutuste arv ja proportsionaalsuse rakendamise
põhimõtted.
Finantsasutused Arv Proportsionaalsuse põhimõte:
Krediidiasutused 9 - mikrodele30 leevendused ptk-des 2, 4 ja 5.
Makseasutused (sulgudes
erandi alla kuuluvad asutused)
12 (4) - mikrodele leevendused ptk-des 2, 4 ja 5.
- leebem IKT-riskijuhtimise režiim (ptk 2)
erandi alla kuuluvatele makseasutustele.
E-raha asutused 2 - mikrodele leevendused ptk-des 2, 4 ja 5.
- leebem IKT-riskijuhtimise režiim (ptk 2)
erandi alla kuuluvatele e-raha asutustele.
Kindlustusandjad 9 - mikrodele leevendused ptk-des 2, 4 ja 5.
Kindlustusmaaklerid, kellel
hakkab DORA kohalduma
(sulgudes maaklereid kokku)
0 (40) - DORA määrus ei kohaldu mikrodele,
väikestele31 ja keskmise suurusega32
kindlustusvahendajatele.
Kindlustusagendid, kellele
hakkab DORA kohalduma
(sulgudes agente kokku)
0 (378) - DORA määruse ei kohaldu mikrodele,
väikestele ja keskmise suurusega
kindlustusvahendajatele.
Fondivalitsejad
12 - mikrodele leevendused ptk-des 2, 4 ja 5.
- kohustusliku ja täiendava pensionifondi
valitsejatele DORA ei kohaldu.
30 kus töötab vähem kui 10 inimest ning kelle aastakäive ja/või aastabilansi kogumaht ei ületa 2 miljonit eurot 31 töötab 10 või rohkem inimest, kuid vähem kui 50 inimest ja kelle aastakäive ja/või aastabilansi kogumaht ületab 2 miljonit
eurot, kuid ei ületa 10 miljonit eurot 32 kes ei ole väikeettevõtja ja kus töötab vähem kui 250 inimest ning kelle aastakäive ei ületa 50 miljonit eurot ja/või
aastabilanss ei ületa 43 miljonit eurot
16
Tegevusloaga väikefondi
valitsejad
(6) - DORA määrus neile ei kohaldu.
Registreeritavad väikefondi
valitsejad
(75) - DORA määrus neile ei kohaldu.
Investeerimisühingud 9 - mikrodele leevendused ptk-des 2, 4 ja 5.
- leebem IKT-riskijuhtimise režiim (ptk 2)
väikestele ja mitteseotud
investeerimisühingutele.
Reguleeritud turu korraldaja 1 - mikrodele leevendused ei kohaldu.
Väärtpaberiarveldussüsteemi
korraldaja
1 - mikrodele leevendused ei kohaldu.
Väärtpaberituru
kauplemiskohad
1 - mikrodele leevendused ei kohaldu.
Keskne vastaspool 0 - mikrodele leevendused ei kohaldu.
Aruandlusteenuse osutaja 0 - mikrodele leevendused ptk-des 2, 4 ja 5.
Ühisrahastusteenuse osutajad 2 - mikrodele leevendused ptk-des 2, 4 ja 5.
Hoiu-laenuühistud (17)33 - leebem IKT-riskijuhtimise režiim (ptk 2).
Eesti ei kohalda hoiu-laenuühistutele
määrust.
Tööandja kogumispensioni
asutused
0 - DORA määrus ei kohaldu IORP-dele, kus
vähem kui 15 liiget.
- leebem IKT-riskijuhtimise režiim (ptk 2)
kuni 100 liikmega IORP-idele.
Krüptovarateenuse osutajad
(MICAR tegevusloaga)
034 - mikrodele leevendused ptk-des 2, 4 ja 5.
Varapõhiste tokenite emitendid
(MICAR tegevusloaga)
0 - mikrodele leevendused ptk-des 2, 4 ja 5.
Tabel 1. DORA kohaldamisalasse kuuluvate finantsasutuse arv.
DORA määruse kohaldamisalasse kuuluvad ka kriitilise tähtsusega kolmandast isikust IKT
teenuseosutajad, kuid hetketeadmise kohaselt ükski Eesti ettevõtja pole määratletav kriitilisena.
Näiteks on tegemist pilv-, tarkvara- ja andmeanalüüsiteenuste osutajate ning andmekeskuse
teenuste osutajatega, kuid lisaks peavad olema täidetud mitmed kriitilise IKT teenuseosutaja
kriteeriumid.
2.5. DORA määruse seos liidu tasandil kehtestatud horisontaalne küberturvalisuse
raamistiku ja elutähtsa teenuseosutaja toimepidevuse nõuetega
EL Teatajas avaldati paralleelselt DORA määruse ja DORA direktiiviga NIS2 ning CER
direktiivid. Samas, kui DORA nõudeid tuleb kohaldama hakata 17. jaanuarist 2025. a, siis NIS2
ja CER direktiivides on ette nähtud, et nendest direktiividest tulenevad nõuded kohalduvad
18. oktoobrist 2024.a.
Õiguse kohaldamine
33 https://statistika.eestipank.ee/failid/mbo/hly.html 34 Käesoleval hetkel ei ole veel võimalik MICAR alusel tegevusluba taotleda. 2024. aasta aprilli seisuga on RahaPST alusel
tegutsemas 49 virtuaalvääringuteenuse pakkujat.
17
Kuna NIS2 direktiivi ja CER direktiiviga on mh hõlmatud krediidiasutused, kauplemiskohad ja
kesksed vastaspooled, on oluline üheselt aru saada, milliseid nõudeid ja mis ulatuses
krediidiasutused, kauplemiskohad ja kesksed vastaspooled järgima peavad.
NIS2 direktiivi kohaldatakse direktiivi I või II lisas osutatud sellist liiki avalik-õiguslike või
eraõiguslike üksuste suhtes, mis kvalifitseeruvad soovituse 2003/361/EÜ35 lisa artikli 2
kohaselt keskmise suurusega ettevõtjateks või ületavad kõnealuse artikli lõikes 1 sätestatud
keskmise suurusega ettevõtja piirmäärasid, ning osutavad teenuseid või tegutsevad liidus. NIS2
direktiivi I lisa punktides 3 ja 4 on kriitilise tähtsusega sektorina välja toodud pangandussektor
ja finantsturutaristud. Samas kohaldatakse NIS2 direktiivi lisaks ka üksuste suhtes (olenemata
nende suurusest), kui neid käsitatakse CER direktiivi kohaselt elutähtsa teenuse osutajatena
(edaspidi ETO) või kui üksuse osutatava teenuse häire võib tuua kaasa olulise süsteemse riski,
eelkõige sektorites, kus sellisel häirel võib olla piiriülene mõju.
DORA määruse põhjenduspunktis nr 16 on selgitatud, et DORA määrus on NIS2 suhtes lex
specialis. NIS2 direktiivi põhjenduspunkt 28 selgitab lisaks, et NIS2 direktiivi sätete asemel
tuleks kohaldada DORA määruse sätteid, mis käsitlevad IKT riskijuhtimist, IKT intsidentide
haldamist ja eelkõige tõsistest IKT intsidentidest teavitamist, samuti digitaalse tegevuskerksuse
testimist, teabevahetuse kokkuleppeid ja kolmandatest isikutest tulenevat IKT-riski. Seetõttu ei
tohiks liikmesriigid NIS2 direktiivi sätteid, mis käsitlevad küberturvalisuse riskijuhtimist ja
teatamiskohustust, järelevalvet ja täitmise tagamist, DORA määruse kohaldamisalasse jäävate
finantssektori ettevõtjate suhtes kohaldada. Siiski peaksid liikmesriigid jätkuvalt kaasama
finantssektori oma küberturvalisuse strateegiatesse. DORA määruse kohaldamisalasse
kuuluvate üksuste suhtes tuleks ka edaspidi kohaldada sätteid, mis käsitlevad küberkriiside
ohjamise raamistikke (NIS2 direktiivi artikkel 9) ja EU - CyCLONe’i (NIS2 direktiivi artikkel
16)36. Kuivõrd on oluline, et NIS2 direktiivi alusel säiliksid tugevad suhted ja teabevahetus
finantssektoriga, võivad Euroopa järelevalveasutused ja DORA määruse alusel pädevad
asutused taotleda osalemist koostöörühma tegevuses ning vahetada teavet ja teha koostööd
ühtsete kontaktpunktidega, aga ka CSIRTidega ja NIS2 direktiivi kohaste pädevate asutustega.
NIS2 direktiivi artikli 24 lõike 1 teise lause kohaselt peaksid liikmesriigid ergutama elutähtsaid
ja olulisi üksusi kasutama kvalifitseeritud usaldusteenuseid.
CER direktiivi artikli 6 kohaselt identifitseerib liikmesriik elutähtsa teenuse osutajad sellistes
valdkondades nagu pangandus, kauplemiskohad ja kesksed vastaspooled.
CER direktiivi põhjenduspunkt 21 selgitab, et kuna finantssektori ettevõtjate toimepidevus on
põhjalikult hõlmatud DORA regulatsiooniga, ei tuleks selliste ettevõtjate suhtes kohaldada
CER direktiivi artiklit 11 ning III, IV ja VI peatükki, et vältida dubleerimist ja ebavajalikku
halduskoormust (vt ka artiklit 8). Lisaks selgitab viidatud põhjenduspunkt, et võttes arvesse
finantssektori ettevõtjate poolt kõikidesse muudesse sektoritesse kuuluvate elutähtsate teenuse
osutajatele osutatavate teenuste olulisust, peaksid liikmesriigid CER direktiiviga ette nähtud
kriteeriumide põhjal ja selles sätestatud menetlust kohaldades identifitseerima sellised
finantssektori ettevõtjad elutähtsa teenuse osutajana ning kohaldama nende suhtes CER
direktiivi II peatükis sätestatud strateegiaid, liikmesriigi riskianalüüse ja toetusmeetmeid.
Lisaks on artikli 8 teises lauses sätestatud, et liikmesriigid võivad vastu võtta või säilitada
liikmesriigi õigusnormid, millega saavutada kõnealuste elutähtsa teenuse osutajate
toimepidevuse kõrgem tase, tingimusel et need õigusnormid on kooskõlas kohaldatavate liidu
õigusenormidega (vt HOS eelnõu ja seletuskirja).
35 https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32003H0361 36 Vt ka https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX:52023XC0918(01)
18
Koostöö ja küberturvalisuse strateegia
DORA määrus võimaldab Euroopa järelevalveasutustel ja finantsjärelevalve pädevatel
asutustel osaleda koostöörühma tegevuses ning vahetada teavet ja teha koostööd ühtsete
kontaktpunktide37, samuti küberturbe intsidentide lahendamise üksuste (CSIRT) ja
küberturvalisuse pädevate asutustega. Näiteks peavad finantsjärelevalve pädevad asutused
edastama tõsiste IKT intsidentide ja asjakohasel juhul oluliste küberohtude üksikasjad ka
CSIRTidele, pädevatele asutusele või ühtsetele kontaktpunktidele. See saavutatakse vahetu
juurdepääsu tagamisega intsidenditeadetele ja nende otsese või intsidenditeadete ühtse
kontaktpunkti edastamise kaudu.
Lisaks peaksid liikmesriigid jätkuvalt kaasama finantssektori oma küberturvalisuse
strateegiatesse ning CSIRTid võivad oma tegevuses hõlmata ka finantssektorit.
Kokkuvõte
DORA CER (ETO) NIS2 (ETO ja
keskmise suurusega
või suurem ettevõtja)
Krediidiasutused
ja
finantsturutaristud
Kohaldub täies
ulatuses.
Kohaldub CER
direktiivi II peatükk;
Ei kohaldata CER
direktiivi art 11 ning
III, IV ja VI peatükki.
Liikmesriigid võivad
vastu võtta või
säilitada liikmesriigi
õigusnormid, millega
saavutada kõnealuste
elutähtsa teenuse
osutajate
toimepidevuse
kõrgem tase.
Ei kohaldata IKT
riskijuhtimist, IKT
intsidentide
haldamist ja nendest
teavitamist,
digitaalse
tegevuskerksuse
testimist,
teabevahetuse
kokkuleppeid ja
kolmandatest
isikutest tulenevate
IKT-riskidega seotud
sätteid.
Pädev asutus
seoses
krediidiasutuse ja
finantsturutaristu
järelevalvega
FI;
EKP (olulised
krediidiasutused).
FI/EKP, kui
liikmesriik ei otsusta
CER II peatüki
pädeva asutuse
kohustusi anda
teisele pädevale
asutusele.
RIA
Koostöö FI/EKP õigus osaleda
NIS2 art 14
koostöörühmas.
FI teavitab tõsistest
intsidentidest RIA-t ja
asjakohasel juhul
muid avaliku sektori
asutusi.
Koostöö NIS2 päeva
asustusega.
Kuna DORA pädev
on teatud juhtudel ka
CER pädev asutus,
siis peab tegema
koostööd ka teis(t)e
CER pädeva(te)
asutus(te)ga.
Art 13 – RIA
koostöö, sh teabe
vahetamine DORA
(FI/EKP) ja CER
pädevate asutustega
ja muude artiklis
loetletud asutustega.
37 Iga liikmesriik määrab küberturvalisuse pädevate asutuste seast ühe kontaktpunkti, mis täidab sidepidamisfunktsiooni, et
tagada oma liikmesriigi ametiasutuste piiriülene koostöö teiste liikmesriikide asjaomaste asutustega ning asjakohasel juhul
komisjoni ja ENISAga ning ka valdkondadevaheline koostöö oma liikmesriigi teiste pädevate asutustega.
19
FI/EKP saab
vajadusel
konsulteerida RIA ja
muu liikmesriigi
NIS2 pädeva
asutusega.
2.6. Eelnõu kooskõla EV põhiseadusega (PS)
2.6.1. Eelnõuga riivatakse ettevõtlusvabadust (PS § 31), kuna seadusega kehtestatakse nõuded
finantsasutuste digitaalsele tegevuskerksusele. Ettevõtlusvabadus annab isikule õiguse nõuda,
et avalik võim ei sekkuks tema ettevõtlusena käsitatavasse tegevusse. Ettevõtlusvabadust võib
piirata seadusega. Finantsasutustele on nende tegevuse iseloomust tulenevalt avalikkusel
kõrgemad ootused ja nõuded, seetõttu on nendele kehtestatud ulatuslikult regulatsioone nii EL
tasandil kui siseriiklikult. Antud juhul peavad ettevõtjad digitaalse tegevuskerksuse nõuete
rakendamiseks teatud ümberkorraldusi tegema, nt juhtimisstruktuuri tõhustamine. Samuti
peavad nad EL ja seaduse nõuetega kooskõlla viima IKT riskide juhtimise nõuded, sh nõuded
küberturvalisuse tagamiseks. Siiski ei ole see esimene kord, kui finantsasutusele sarnaseid
nõudeid esitatakse, sellele vaatamata piirab see ettevõtja tegevust ning eeldab omakorda
ettevõtjalt täiendavate rahaliste kulutuste tegemist.
Eelnõuga ette nähtud piirangud on mõistlikud. Kuigi digitaalse tegevuskerksuse nõuded on
ühest küljest finantsasutusi koormavad, siis teisest küljest tagab see nende tegevuse toimimise
ja jätkusuutlikkuse igapäevases majanduses üleüldiselt. See omakorda on seotud avaliku
huviga, kuna finantsasutuste stabiilsus aitab kaasa ka riigi majanduse toimimise stabiilsusele.
Lisaks aitab nõuete rakendamine ära hoida kahjusid, mis võiks kaasneda IKT-riskidega, mis
kaasnevad finantssüsteemi küberohtudega ning IKT-katkestustega. IKT kasutamine on
finantsteenuste osutamisel omandanud keskse rolli, kusjuures see on igapäevaste funktsioonide
toimimise jaoks kriitilise tähtsusega. Finantssektori digitaliseerimine on süvendanud seoseid ja
sõltuvust nii finantssektori sees kui ka finantssektori ja kolmandate isikute taristu ja kolmandast
isikust teenuseosutajate vahel. See kõik toob kaasa küberintsidentide riski, mis ei ole ainult
Eesti kohalik probleem. Nende riskide maandamiseks on oluline kehtestada ja järgida digitaalse
tegevuskerksuse nõudeid.
Lisaks kaitsevad eelnõuga kehtestatavad finantsasutuste digitaalse tegevuskerksuse nõuded
isikute omandit, kes on oma raha usaldanud finantsasutuste hoolde. PS § 32 kohaselt on igaühe
omand puutumatu ja võrdselt kaitstud. Antud eelnõuga võtab riik meetmeid, et see isikute õigus
saaks tagatud.
Seega on digitaalse tegevuskerksuse nõuete kehtestamine finantsasutustele põhjendatud ja
proportsionaalne.
2.6.2. Eelnõuga kehtestatakse väärteokaristused DORA määruses sätestatud digitaalse
tegevuskerksuse nõuete rikkumise eest. Sellega on puutumuses PS § 11, mille kohaselt võib
õigusi ja vabadusi piirata ainult kooskõlas seadusega. Samuti riivatakse PS § 31, mille korral
mõned ettevõtlusega seotud teod võivad olla kvalifitseeritud väärtegudeks ning nende eest
nähakse ette karistused38. Need piirangud peavad olema demokraatlikus ühiskonnas vajalikud
ega tohi moonutada piiratavate õiguste ja vabaduste olemust. Karistused on piirangud ning need
38 O. Kask, S. Ehrlich, A. Henberg. PS § 31 kommentaarid, p 33. – Eesti Vabariigi põhiseadus. Kommenteeritud väljaanne,
viies, parandatud ja täiendatud väljaanne. Justiitsministeerium: 2020. https://pohiseadus.ee/sisu/3502
20
piirangud olema proportsionaalsed ning ei või olla ülemäärased. Finantssektoris võib IKT-riski
realiseerumine mõjutada finantsstabiilsust ja finantssüsteemi usaldusväärsust, seetõttu on vaja
ette näha proportsionaalne karistuste rakendamise kord. Lisaks kaasneb eelnõu kohaselt
karistuse määramisega ka selle avalikustamine.
Eelnõuga ette nähtavad rahatrahvid on:
1) IFS § 5034 ja KAS § 13426, MERAS § 109¹, VpTS § 262³ - rahatrahv 5 000 000 eurot või
kuni kahekordse väärteo tulemusel teenitud kasule või ära hoitud kahjule vastavas summas ning
juriidilise isiku puhul sama suur trahv, kuid alternatiiviks on kuni kahekordse väärteo tulemusel
teenitud kasule või ära hoitud kahjule vastavas summas või kuni 10% juriidilise isiku või tema
konsolideerimisgrupi konsolideeritud käibest;
2) KindlTS § 257¹ - rahatrahv 700 000 eurot või kuni kahekordse väärteo tulemusel teenitud
kasule või ära hoitud kahjule vastavas summas ning juriidilise isiku puhul 5 000 000 eurot või
kuni kahekordse väärteo tulemusel teenitud kasule või ära hoitud kahjule vastavas summas või
kuni 10% juriidilise isiku või tema konsolideerimisgrupi konsolideeritud käibest.
Määrad on kooskõlas vastavates seadustes sätestatud määradega. Täpsemad selgitused on
toodud vastavate sätete selgituste juures.
Finantsasutuste puhul on väärteokaristustena ette nähtud rahatrahvid kõrgemas suurusjärgus,
kui teistes eluvaldkondades, sest finantssektor põhineb usaldusel. Seadusega pandud kohustuste
mitte järgimine võib kaasa tuua ulatuslikud tagajärjed mitte ainult sellele finantsasutusele
endale, vaid kogu ühiskonnale. Tänapäeva ühiskonna heaolu sõltub olulisel määral
finantssektoris tegutsevate ettevõtjate pakutavatest teenustest ja finantsturgude
usaldusväärsusest. Finantssektor on valdkond, mille suhtes valitseb kõrgendatud avalik huvi.
Seetõttu peavad sellised karistused olema tulemuslikud, proportsionaalsed ja hoiatavad.
Tavakliendil puuduvad üldjuhul teadmised ja piisav informatsioon finantsteenustega
seonduvate riskide hindamiseks ja kehtestatud regulatsioonid peavad looma usaldusväärse
keskkonna ning tagama klientide kaitse. Eelnimetatud kohustused võtab iga finantssektori
ettevõtja endale turule sisenedes, kusjuures suures osas on regulatsiooni nõuded ka tegevusloa
kontrolliesemeks.
Antud juhul on rahatrahv vajalik kuna:
1) sellel on üldpreventiivne positiivne eesmärk. Õiguskord annab avalikkusele selge märgi
õigusrikkumise hukkamõistetavuse kohta. Üksnes sunniraha meede ei heidutaks
finantsjärelevalvesubjekte nõudeid rikkumast, teades, et nõuete rikkumisele võib järgneda vaid
ettekirjutus, s.t ettekirjutuse täitmisel ei ole neil vaja karta rahalist karistust;
2) finantssektori puhul võib iga nõude rikkumisega kaasneda oluline kahju avalikkusele,
eelkõige investoritele ja võlausaldajatele, aga ka kolmandatele isikutele. Ettekirjutuse ja
sunnirahaga on võimalik nõuda seaduskuulekat käitumist ja kõrvaldada eelkõige selliseid
rikkumisi, mille tagajärjed ei avalda mõju kolmandatele isikutele, kuid välistatud ei ole, et
mõni, olemuselt kõrvaldatav, seaduse nõuete rikkumine toob kaasa piisava ohu või kahju, et
vajalik on ka väärteokoosseisu sätestamine.
Kokkuvõtvalt, eespool toodut arvesse võttes, on Rahandusministeeriumi hinnangul eelnõuga
lisatavad väärteokoosseisud finantssektori järelevalve seisukohalt olulise tähtsusega ja
proportsionaalsed.
3. Eelnõu sisu ja võrdlev analüüs
3.1. Eelnõu § 1. Finantsinspektsiooni seaduse muutmine
21
FIS § 6 lõike 1 uus punkt 75. Kuigi finantsjärelevalve üheks osaks on alati olnud mh
järelevalve seoses finantsasutuse operatsiooniriskide, infoturbe ja talitluspidevusega,
täiendatakse FI ülesannete paragrahvi uue punktiga, rõhutamaks, et FI täidab mh ülesandeid
seoses järelevalvega finantsasutuste digitaalse tegevuskerksuse nõuete täitmise üle. Samuti
nähakse eelnõuga ette, et asjakohastel juhtudel teeb FI koostööd Eesti ja teiste liikmesriikide
küberturvalisuse pädevate asutustega (vt ka selgitusi FIS uue § 4711 juures).
FIS § 46 uus lõige 10. Kuigi FI osaleb aktiivselt ESA-de töös ja vastav säte on ka FIS § 46
lõikes 2, kohustab DORA määruse artikli 32 lõige 5 selgesõnaliselt liikmesriiki määrama
pädeva asutuse, kes kuulub EL tasandil järelevaatamise foorumisse. Sellest tuleb ka juhtivat
järelevalveasutust teavitada.
Nimelt reguleerib DORA määrus mh järelevaatamist kriitilise tähtsusega kolmandast isikust
IKT-teenuseosutajate üle. Järelevaatamise foorum hindab igal aastal ühiselt kõigi kriitilise
tähtsusega kolmandast isikust IKT-teenuste osutajate järelevaatamise tulemusi ja leide ning
edendab koordineerimismeetmeid, et suurendada finantsasutuste digitaalset tegevuskerksust,
edendada IKT kontsentratsiooniriski käsitlemise parimaid tavasid ja uurida riskide
valdkonnaülest ülekandumist leevendavaid tegureid.
Foorum on ESA-de ühiskomitee allkomitee ning sellesse kuulub mh iga liikmesriigi
finantsjärelevalve asutusest üks kõrgetasemeline esindaja, kes on ühtlasi selle asutuse ehk Eesti
puhul FI töötaja.
FIS § 47 lõike 12 muutmine (ei ole seotud DORA ülevõtmisega, seaduses parandatakse EL
määruse nimetus õigeks). Euroopa Parlamendi ja Nõukogu määrusega (EL) 2019/2033, 27.
november 2019, mis käsitleb investeerimisühingute suhtes kohaldatavaid usaldatavusnõudeid
ning millega muudetakse määrusi (EL) nr 1093/2010, (EL) nr 575/2013, (EL) nr 600/2014 ja
(EL) nr 806/2014, muudeti Euroopa Parlamendi ja nõukogu määruse (EL) nr 575/2013
pealkirja, mistõttu viiakse FIS-is viide määrusele kooskõlla selle õige nimetusega.
FIS uus § 4711 reguleerib FI koostööd teiste asutustega küberturvalisuse valdkonnas.
Lõiked 1 ja 2. DORA määruse ja NIS2 direktiivi pädevad asutused peavad tegema koostööd.
Lõike 1 punkti 1 kohaselt peaks FI saama DORA määruse artikli 42 lõike 5 kohaselt
(vabatahtlikult) konsulteerida NIS2 direktiivi pädeva asutusega, kui küsimuseks on, kas
finantsasutus peaks ajutiselt osaliselt või täielikult peatama NIS2 direktiivi kohaldamisalasse
kuuluva kriitilise tähtsusega kolmandast isikust IKT-teenuseosutaja osutatava teenuse
kasutamise või kasutuselevõtu. Vajaduse korral saab ka nõuda, et finantsasutused lõpetaksid
osaliselt või täielikult kriitilise tähtsusega kolmandast isikust IKT-teenuseosutajaga sõlmitud
lepingud. Kuna selline kriitilise tähtsusega IKT-teenuseosutaja kuulub suure tõenäosusega
mõne teise lepinguriigi NIS2 kohase järelevalve alla, on selle kohta ette nähtud ka eraldi lõige
2.
Punkt 2. DORA määruse pädeval asutustel (FI/EKP) peaks olema võimalik küsida tehnilist nõu
NIS2 direktiivi kohaselt määratud või asutatud pädevatelt asutustelt (RIA) ning kehtestada
koostöökokkulepe, mille eesmärk on tagada tõhusad ja kiired reageerimise
koordineerimismehhanismid. Kokkulepetes võib muu hulgas kindlaks määrata järelevalve ja
järelevaatamise koordineerimise menetlused seoses NIS2 direktiivi kohaldamisalasse jäävate
elutähtsate või oluliste üksustega, kes on DORA määruse artikli 31 kohaselt määratud kriitilise
tähtsusega kolmandast isikust IKT teenuseosutajateks, sealhulgas uurimiste ja kohapealsete
22
kontrollide läbiviimiseks kooskõlas liikmesriigi õigusega. Samuti võib kokku leppida
teabevahetuse toimumise viisi, mis hõlmab juurdepääsu DORA pädeva asutuse ja NIS 2 pädeva
asutuse nõutud teabele.
NIS2 direktiivi põhjenduspunkt 25 selgitab ka, et valdkondlikes liidu õigusaktides, millega
nähakse ette küberturvalisuse riskijuhtimismeetmed või teatamiskohustus, millel on NIS2
sätestatuga vähemalt samaväärne mõju, võiks ette näha, et nende õigusaktide kohased pädevad
asutused kasutavad selliste meetmete või kohustustega seoses oma järelevalve- ja täitmise
tagamise volitusi NIS2 kohaselt määratud pädevate asutuste abil. Asjaomased pädevad asutused
võivad sel eesmärgil kehtestada koostöökorra. Sellises koostöökorras võiks muu hulgas
täpsustada järelevalvetegevuse koordineerimise korra, sealhulgas liikmesriigi õiguse kohaste
uurimiste ja kohapealsete kontrollide korra ning pädevate asutuste vahelise järelevalvet ja
täitmise tagamist käsitleva asjakohase teabe vahetamise mehhanismi, sealhulgas juurdepääsu
kübervaldkonda puudutavale teabele, mida pädevad asutused käesoleva direktiivi kohaselt
taotlevad.
Punkt 3. Lisaks reguleerib pädevate asutuste koostööd NIS2 direktiivi artikkel 13, mis ütleb, et
selleks et tagada pädevate asutuste, ühtsete kontaktpunktide ja CSIRTide ülesannete ja
kohustuste tulemuslik täitmine, tagavad liikmesriigid nii suures ulatuses kui võimalik
asjakohase koostöö nende kõnealuse liikmesriigi organite ning õiguskaitseasutuste,
andmekaitseasutuste, määruste (EÜ) nr 300/2008 ja (EL) 2018/1139 kohaste riiklike asutuste,
määruse (EL) nr 910/2014 kohaste järelevalveasutuste, määruse (EL) 2022/2554 (DORA)
kohaste pädevate asutuste, direktiivi (EL) 2018/1972 kohaste riigi reguleerivate asutuste,
direktiivi (EL) 2022/2557 kohaste pädevate asutuste ning muude valdkondlike liidu õigusaktide
kohaste pädevate asutuste vahel. Koostöö hõlmab ka korrapäraselt teabe vahetamist, sealhulgas
intsidentide ja küberohtude kohta.
Kuna CER direktiivi artikli 9 kohaselt on krediidiasustuse ja finantsturutaristute puhul CER
pädevaks asutuseks DORA pädeva asutus, peab ka selle direktiivi kohaselt liikmesriik tagama,
et ta teeb koostööd NIS2 pädeva asutusega, vahetades temaga teavet küsimustes, mis
puudutavad elutähtsaid teenuseosutajaid mõjutavaid küberturvalisuse riske, küberohte ja -
intsidente ning muid kui küberriske, -ohte ja -intsidente, sealhulgas seoses asjakohaste
meetmetega, mille on võtnud NIS2 kohased pädevad asutused. Täpsemalt on teabevahetuse
ulatus ette nähtud HOS eelnõus (seaduse täiendamine §-ga 4156), mille kohaselt
Finantsinspektsioon ja Riigi Infosüsteemi Amet vahetavad vastastikku teavet HOS §-s 36 lõikes
3 nimetatud elutähtsaid teenuseid osutavate elutähtsa teenuse osutajate toimepidevuse, neid
mõjutavate ohtude, riskide, toimepidevuse tagamiseks rakendatud meetmete ja toimunud
sündmuste kohta, samuti asjaomast teavet, mis on vajalik järelevalvemenetluse läbiviimiseks
arvestades eriseadusest tulevate piirangutega.
Punktis 4 tuuakse eraldi välja, et FI ja RIA teevad koostööd muu hulgas seoses finantsasutuste
süvatestimisega. Süvatestimine on reguleeritud DORA määruse artiklites 26 ja 27. Võttes
arvesse RIA küberkompetentsi, aitab kahe asutuse vaheline koostöö tagada, et testimised
viiakse läbi nõuetekohaselt ja RIA on samuti kaasatud vastavatesse toimingutesse.
Lisaks on koostöö kontekstis asjakohane juhtida tähelepanu DORA määruse artikli 47 lõikele
1, mille kohaselt on pädeval asutusel õigus osaleda NIS2 direktiivi artikli 14 alusel loodud
koostöörühma tegevuses seoses nende teemade ja küsimustega, mis on seotud pädeva asutuse
järelevalvega finantsasutuse üle. Lisaks võib pädev asutus sama artikli lõike 2 kohaselt taotleda
sellises koostöörühmas osalemist, kui selles arutatakse küsimusi seoses elutähtsa või olulise
üksusega, kes osutab Eesti finantsasutustele IKT-teenuseid ning kes on ühtlasi DORA määruse
tähenduses kriitilise tähtsusega kolmandast isikust IKT teenuseosutaja. Tegemis on IKT
23
teenuseosutajaga, kes määratakse kriitilise tähtsusega kolmandast isikust IKT teenuseosutajaks
vastavalt DORA määruse artiklile 31.
Lõige 3. Selleks, et mitte kohaldada teatud finantsasutustele topelt intsidentidest teavitamise
nõudeid, nähakse käesoleva eelnõuga ette järgmine lahendus:
- kui finantsasutuse puhul on mh tegemist elutähtsa teenuse osutajaga hädaolukorra seaduse
§ 38 lõike 1 tähenduses, siis kohaldub talle DORA määruses ja käesolevas eelnõus
sätestatud kohustus teavitada tõsisest IKT intsidendist nii FI-d kui ka RIA-t,
- sellisel juhul ei pea ta topelt teavitama elutähtsa teenuse toimepidevust korraldavat asutust
(Eesti Panka) elutähtsa teenuse katkestusest, katkestuse ohust, elutähtsa teenuse
toimepidevust oluliselt häirivast sündmusest või sellise sündmuse toimumise vahetust
ohust, nagu on sätestatud hädaolukorra seaduses. Oluline on rõhutada, et nii on vaid juhul,
kui tegemist on tõsise IKT intsidendiga.
- FI edastab viivitamata nii esialgse teate, vaheraporti kui ka lõppraporti Eesti Pangale.
- krediidiasutuste puhul on lisatud eelnõusse täpsustus (KAS § 923 lg 2), et DORA kohase
teavitusega loetakse hädaolukorra seaduse § 38 lõike 3 punktis 4 sätestatud elutähtsa
teenuse osutaja teavitamise kohustus täidetuks.
- juhul, kui tegemist ei ole tõsise IKT intsidendiga DORA tähenduses, kohaldub teavitamisele
hädaolukorra seadus ning elustähtsa teenuse osutaja teavitab otse Eesti Panka.
CER direktiivi põhjenduspunkt 21 selgitab, et kuna finantssektori ettevõtjate toimepidevus on
põhjalikult hõlmatud DORA regulatsiooniga, ei tuleks selliste ettevõtjate suhtes kohaldada
CER direktiivi artiklit 11 ning III, IV ja VI peatükki, et vältida dubleerimist ja ebavajalikku
halduskoormust (vt ka artiklit 8). Seega, kuna CER direktiivi III peatüki artikkel 15 reguleerib
intsidentidest teavitamist, tuleks IKT teavitamisele kohaldada CER direktiiv asemel DORA
määrust.
Kuna DORA määruse artikli 19 lõike 6 punkt e kohaselt saab riik määrata, et lisaks punktides
a–d nimetatud asutustele edastatakse tõsiste intsidentide teavitus ja raportid ka muudele
liikmesriigi õiguse kohastele avaliku sektori asutustele, nähaksegi käesoleva lõikega 3 ette, et
FI edastab viivitamata Eesti Pangale need teavitused ja raportid, mis ta on saanud elutähtsa
teenuse osutajalt.
Lõige 4. Kuigi FI teeb koostööd ESA-de ja Euroopa Keskpangaga ning seda reguleerivad nii
FIS kui ka asjakohased EL õigusaktid, on lõikes 6 täpsustatud, et koostöö hõlmab muu hulgas
DORA määruse artiklite 48 ja 49 lõigetes 2 sätestatud koostööd ja teabevahetust. Artikli 48
lõike 2 kohaselt vahetavad pädevad asutused ja juhtiv järelevaatamisasutus (kelleks on üks
ESA-dest, sõltuvalt, kes on kriitilise tähtsusega kolmandast isikust IKT teenuseosutaja) aegsasti
vastastikku kogu asjakohast teavet kriitilise tähtsusega kolmandast isikust IKT teenuseosutajate
kohta, mida neil on vaja DORA määrusest tulenevate ülesannete täitmiseks, eelkõige seoses
juhtiva järelevaatamisasutuse järelevaatamise ülesannete raames kindlaks tehtud riskide,
lähenemisviiside ja võetud meetmetega.
Artikli 49 lõike 2 kohaselt teevad pädevad asutused, ESA-d ja Euroopa Keskpank omavahel
tihedat koostööd ja vahetavad teavet, et täita oma DORA määruse artiklite 47–54 kohaseid
ülesandeid. Nad kooskõlastavad tihedalt oma järelevalvetegevust, et teha kindlaks rikkumised
ja võtta parandusmeetmeid, töötada välja ja edendada parimaid tavasid, hõlbustada koostööd,
edendada tõlgendamise ühtsust ning anda lahkhelide korral jurisdiktsiooniüleseid hinnanguid.
FIS § 54 lõike 4 täiendamine uue punktiga 12. Paragrahv 54 reguleerib kontrollimisandmete
salastatust. Lõikes 4 on loetelu asutustest, kellele konfidentsiaalse teabe ja finantsjärelevalve
tulemusi kajastavate dokumentide avaldamine on lubatud. Lõiget täiendatakse uue punktiga,
24
mille kohaselt on konfidentsiaalse teabe ja finantsjärelevalve tulemusi kajastavate dokumentide
avaldamine lubatud RIA-le ulatuses, mis on vajalik tõhusaks koostööks kahe asutuse vahel.
Siinjuures on oluline välja tuua, et ka DORA määruse 55 kohaselt kehtib DORA määruse alusel
saadud, vahetatud või edastatud konfidentsiaalse teabe suhtes ametisalauduse hoidmise
kohustus, sealhulgas teabevahetust DORA määruse pädevate asutuste (FI) ja NIS2 direktiivi
kohaselt määratud või asutatud pädevate asutuste (RIA) vahel, ei avaldata ühelegi teisele isikule
ega asutusele, välja arvatud juhul, kui see on ette nähtud liidu või liikmesriigi õigusega.
FIS § 544 uue lõikega 4 võetakse riigisisesesse õigusesse üle DORA määruse artikkel 56. Kuigi
DORA määrus on otsekohalduv, on selle artiklis 53 sätestatud, et liikmesriigid teavitavad
komisjoni, ESMA-t, EBA-t ja EIOPA-t oma õigus- ja haldusnormidest, millega võetakse üle
peatükk 7 ehk ka viidatud peatükk tuleb riigisisesesse õigusesse üle võtta.
3.2. Eelnõu § 2. Finantskriisi ennetamise ja lahendamise seaduse muutmine
Digitaalne tegevuskerksus on oluline, et säilitada finantsasutuse kriitilised funktsioonid ja
põhiäriliinid kriisilahenduse korral ning seeläbi vältida häireid reaalmajanduses ja
finantssüsteemis. Direktiivi 2014/59/EL muutmise eesmärgiks on tagada, et tegevuserksusega
seotud teavet võetakse kriisilahenduse kavandamisel ning kriisilahenduskõlblikkuse
hindamisel arvesse.
DORA määruses sätestatud mõiste „kriitilise tähtsusega või oluline funktsioon“ hõlmab
direktiivi 2014/59/EL artikli 2 lõike 1 punktis 35 sätestatud kriitiliste funktsioonide määratlust.
Seega on viidatud direktiivi kohaselt kriitiliseks funktsiooniks peetavad funktsioonid hõlmatud
kriitilise tähtsusega funktsioonide määratusega DORA määruse tähenduses. FELS-is on
kriitiline funktsioon defineeritud § 5 lõikes 2.
Kuna FELS § 2 lõike 3 kohaselt käsitatakse krediidiasutusena ka investeerimisühingut ja tema
suhtes kohaldatakse kõike krediidiasutuse suhtes sätestatut, siis ka allolevaid selgitusi tuleks
lugeda nii, et kõik, mis on öeldud krediidiasutuse kohta, käib ka investeerimisühingu kohta.
Samuti on oluline juhtida tähelepanu asjaolule, et FI on FELS-i mõttes kriisilahendusasutus.
Kui FI-l, kui järelevalveasutusel, on krediidiasutuse või investeerimisühingu kohta mingi teave
tegelikult olemas, siis muudatuste kohaselt võib osutuda vajalikuks teavitada FI-d, kui
kriisilahendusasutust, samuti teatud asjaoludest. FIS § 4 lõike 4 kohaselt tagab FI vajalikus
ulatuses finantsjärelevalve ja kriisilahendusülesannete funktsiooni omavahelise sõltumatuse.
FELS § 2 lõike 2 muutmine (ei ole seotud DORA ülevõtmisega, seaduses parandatakse EL
määruse nimetus õigeks). Euroopa Parlamendi ja Nõukogu määrusega (EL) 2019/2033, 27.
november 2019, mis käsitleb investeerimisühingute suhtes kohaldatavaid usaldatavusnõudeid
ning millega muudetakse määrusi (EL) nr 1093/2010, (EL) nr 575/2013, (EL) nr 600/2014 ja
(EL) nr 806/2014, muudeti Euroopa Parlamendi ja nõukogu määruse (EL) nr 575/2013
pealkirja, mistõttu viiakse FELS-is olev viide määrusele kooskõlla selle õige nimetusega.
FELS § 11 lõike 1 punkti 16 muutmine. Muudetav paragrahv reguleerib, mida peab
krediidiasutuse finantsseisundi taastamise kava sisaldama. Muudatusega täpsustatakse
sõnastust, et kava peab sisaldama muu hulgas korda ja meetmeid, tagamaks võrgu- ja
infosüsteemide pidev toimimine. Võrgu- ja infosüsteeme tuleks hallata vastavalt DORA
määruses sätestatule.
Võrgu- ja infosüsteemid on defineeritud DORA määruse artikli 3 punktis 2 („võrgu- ja
infosüsteem“ – direktiivi (EL) 2022/2555 artikli 6 punktis 1 määratletud võrgu- ja infosüsteem).
Viide on NIS2 direktiivi definitsioonile, mis omakorda määratleb, et võrgu- ja infosüsteem on
25
(a) direktiivi (EL) 2018/1972 artikli 2 punktis 1 määratletud elektroonilise side võrk39; (b) seade
või omavahel ühendatud või seotud seadmete rühm, millest vähemalt ühes toimub mõne
programmi kohaselt digiandmete automaatne töötlemine, või (c) digiandmed, mida
salvestatakse, töödeldakse, saadakse päringutega või edastatakse punktidega a ja b hõlmatud
komponente kasutades nende töö, kasutamise, kaitsmise või hooldamise jaoks.
FELS § 28 lõike 5 täiendamine uute punktidega 141 ja 142. Lõige 5 kohustab krediidiasutust
või temaga ühte konsolideerimisgruppi kuuluvat isikut abistama FI-d (nõudmisel) ja esitama
talle teavet, mis on kriisilahenduskava koostamiseks ja rakendamiseks vajalik. Samas lõikes on
loetelu teabest, mida FI võib nõuda. Muudatusettepanekuga täiendatakse loetelu ning FI
nõudmisel tuleb esitada andmed ka kriitilise tähtsusega kolmandast isikust info- ja
tehnoloogiateenuse osutajate kohta ning digitaalse tegevuskerksuse testi tulemused.
Kriitilise tähtsusega kolmandast isikust IKT teenuseosutaja on defineeritud DORA määruse
artikli 3 punktis 23. Tegemis on IKT teenuseosutajaga, kes määratakse kriitilise tähtsusega
kolmandast isikust IKT teenuseosutajaks vastavalt DORA määruse artiklile 31 (nt suured
pilveteenuseosutajad jne).
FELS § 29 lõike 1 punktide 5 ja 8 muutmine. Paragrahv 29 reguleerib, mida peab
kriisilahenduskava sisaldama.
Punkti 5 kohaselt peab kava sisaldama informatsiooni selle kohta, millised on võimalused
kriitiliste funktsioonide ja põhiäriliinid õiguslikult ja majanduslikult teistest funktsioonidest
eraldamiseks, et tagada krediidiasutuse maksejõuetuse korral tema tegevuse jätkumine.
Muudatusega lisatakse, et kirjeldatut ei tuleks teha mitte ainult tegevuse jätkumise tagamiseks,
vaid ka digitaalse tegevuskerksuse tagamiseks.
Punkti 8 kohaselt peab kava sisaldama informatsiooni süsteemide kirjelduse kohta.
Muudatusega täpsustatakse, et sealhulgas KüTS § 2 punktis 1 sätestatud võrgu- ja
infosüsteemide kirjelduse kohta (direktiivis on viide DORA määruses osutatud võrgu- ja
infosüsteemidele, mis omakorda on defineeritud viitega NIS2 direktiivi määratlusele).
FELS § 33 lõike 4 punkti 4 muutmine ja täiendamine uue punktiga 41. Paragrahv 33
reguleerib, mida võetakse arvesse krediidiasutuse ja konsolideerimisgrupi
kriisilahenduskõlblikkuse hinnangu koostamisel.
Punktis 4 täpsustatakse, et kui hinnatakse krediidiasutuse teenuslepingute täielikult täitmisele
pööratavust krediidiasutuse kriisilahendusmenetluse korral, siis on teenuslepingu all mõeldud
ka info- ja kommunikatsioonitehnoloogia teenuse osutamisega seotud lepingut. Samuti on
täpsustatud, et see leping peaks olema püsiv (ingl k robust).
Uue punkti 41 kohaselt tuleb kriisilahenduskõlblikkuse hinnangu koostamisel võtta arvesse
kriitilisi funktsioone ja põhiäriliine toetavate võrgu- ja infosüsteemide digitaalsest
tegevuskerksust. Selleks on abiks info- ja kommunikatsioonitehnoloogiaga seotud intsidentide
39 „elektroonilise side võrk“ – ülekandesüsteemid, mis võivad, aga ei pruugi põhineda püsitaristul või kesksel juhtimisel, ja
vajaduse korral lülitus- ja marsruutimisseadmed ning muud vahendid, sealhulgas võrguelemendid, mis ei ole aktiivsed, mis
võimaldavad edastada signaale kaabli kaudu, raadio teel, optiliselt või muude elektromagnetiliste vahendite abil, kasutades
sealhulgas satelliitvõrke, püsivõrke (ahel- ja pakettkommuteeritud võrgud, k.a internet) ja mobiilsidevõrke,
elektrikaabelsüsteeme, kui neid kasutatakse signaalide edastamiseks, raadio- ja teleringhäälinguvõrke ja
kaabeltelevisioonivõrke, olenemata sellest, millist teavet nende kaudu edastatakse;
26
aruanded ja digitaalse tegevuskerksuse testimise tulemused. Sõnastuses on kasutatud „kui see
on asjakohane“ – kui pole tõsiseid intsidente, pole ka teavitusi, mida arvesse võtta.
Seaduse normitehniline märkus. Muudetakse seaduse normitehnilist märkust, lisades sinna
viite DORA direktiivile.
3.3. Eelnõu § 3. Hoiu-laenuühistute seaduse muutmine
Hoiu-laenuühistud kuuluvad vaikimisi DORA määruse kohaldamisalasse. Samas lubab DORA
määruse artikli 2 lõige 4 riigisiseselt otsustada, et hoiu-laenuühistud ei kuulu DORA määruse
kohaldamisalasse: „Liikmesriigid võivad käesoleva määruse kohaldamisalast välja arvata
direktiivi 2013/36/EL artikli 2 lõike 5 punktides 4–23 osutatud üksused, mis asuvad nende
vastaval territooriumil. Kui liikmesriik otsustab vastavale asutusele DORA määrust kohaldada,
siis kohaldub neile IKT-riskide juhtimisraamistiku lihtsustatud režiim.“. Direktiivi 2013/36/EL
artikli 2 lõike 5 punktis 6 on viidatud Eesti puhul hoiu-laenuühistutele, mis on hoiu-laenuühistu
seaduse kohaselt tunnustatavad ühistud. DORA määruse artikli 46 punkti a kohaselt oleks
sellisel juhul pädevaks asutuseks sama asutus, kes on krediidiasutuste pädev asutus ehk Eesti
puhul oleks selleks FI.
Kuna õiguslikult ei ole hoiu-laenuühistud hetkel FI finantsjärelevalve subjektid, on keeruline
nende suhtes DORA määruse nõudeid kohaldada. Käesoleva eelnõuga samaaegselt on
menetluses hoiu-laenuühistute seaduse ja sellega seonduvalt teiste seaduste muutmise seaduse
eelnõu. Kui hoiu-laenuühistust saab ühistupank, siis viidatud eelnõu kohaselt kohalduksid neile
KAS-is sätestatud nõuded, sh on nad kohustatud rakendama DORA määrust.
Muudatusettepaneku kohaselt ei ole hoiu-laenuühistu kohustatud järgima DORA määruses
sätestatud nõudeid.
3.4. Eelnõu § 4. Investeerimisfondide seaduse muutmine
IFS § 12 lõike 1 punkti 1 muutmine (ei ole seotud DORA ülevõtmisega, seaduses
parandatakse EL määruse nimetus õigeks). Euroopa Parlamendi ja Nõukogu määrusega (EL)
2019/2033, 27. november 2019, mis käsitleb investeerimisühingute suhtes kohaldatavaid
usaldatavusnõudeid ning millega muudetakse määrusi (EL) nr 1093/2010, (EL) nr 575/2013,
(EL) nr 600/2014 ja (EL) nr 806/2014, muudeti Euroopa Parlamendi ja nõukogu määruse (EL)
nr 575/2013 pealkirja, mistõttu viiakse IFS-is viide määrusele kooskõlla selle õige nimetusega.
IFS § 223 lõike 2 muutmine. DORA määruse kohaldamisse kuuluvad mh määratud
väljamaksetega tööandja pensionifondid (IORP-id). Paragrahvis 223 on viited IFS
paragrahvidele, milledes sätestatut peab ka IORP oma tegevuses arvestama. Muudatusega
lisatakse §-i 223 viide IFS §-le 345, mille uus lõige 11 kohustab fondivalitsejaid järgima DORA
määruses sätestatut. Lisaks on viide IFS uuele §-le 3451 ehk ka IORP-ide puhul on kohustus
teavitada nii FI-d kui ka RIA-t tõsistest info- ja kommunikatsioonitehnoloogiaga seotud
intsidentidest ning soovi korral olulistest küberohtudest.
IFS § 223 uus lõige 5. Proportsionaalsuse põhimõtte kohaselt ei kohaldata DORA määrust
IORP-ide suhtes, milles on vähem kui 15 pensioniskeemiga hõlmatud isikut.
IFS § 344 lõike 3 punkti 3 muutmine. Fondivalitseja sise-eeskirjade puhul täpsustatakse, et
nõuded info- ja kommunikatsioonitehnoloogilise korralduse, infoturbe tagamise ja
talitluspidevuse kohta tuleb asjakohasel juhul koostada kooskõlas DORA määruses sätestatud
info- ja kommunikatsiooniriskide juhtimise nõuetega. Kuna DORA määrus ei kohaldu IORP-
27
ide suhtes, millesse kuulub vähem kui 15 pensioniskeemiga hõlmatud isikut, on õigusselguse
huvides sõnastuses täpsustatud „asjakohasel juhul“, ehk jättes DORA-le viite kohustusest välja
kõnealused IORP-id. Samas pensionifondi valitsejate puhul peavad sise-eeskirjad info- ja
kommunikatsioonitehnoloogilise korralduse, infoturbe tagamise ja talitluspidevuse kohta
olema koostatud kooskõlas DORA määrusega (vt selgitust ka IFS § 345 lõike 11 juures).
IFS § 345 pealkirja muutmine. Kuna paragrahvi sisu täiendatakse viitega DORA määrusele,
siis viiakse ka pealkiri kooskõlla selle sisuga.
IFS § 345 uus lõige 11. Kuna fondivalitsejad kuuluvad samuti DORA kohaldamisalasse, on §-
i 345 lisatud kohustus järgida DORA määruses sätestatud nõudeid, sealjuures peavad loodavad
ja hallatavad võrgu- ja infosüsteemid vastama DORA määruses sätestatule.
Pensionifondide puhul ei ole tegemist eurofondi valitsejaga direktiivi 2009/65/EÜ artikli 2
lõike 1 punkti b tähenduses, mistõttu ei kuulu nad vaikimisi ka DORA määruse
kohaldamisalasse. Eelnõu koostamisel on võetud lähenemine, et ka pensionifondid lähtuvad
oma tegevuses DORA määruses sätestatud nõuetest, mistõttu on õigusselguse huvides
sõnastuses ka nendele eraldi viidatud. Samas on täpsustatud, et mitte kõikide DORA määruse
sätete puhul ei ole kohane määrust pensionifondi valitseja suhtes kohaldada. Nimelt ei saa
nende suhtes kohaldada neid sätteid, mis on seotud teiste Euroopa institutsioonide tegevusega.
Näiteks ei saa kohustada FI-d saatma pensionifondi valitseja edastatud teated intsidentide kohta
edasi ESA-dele, kuna nendega seotud järelevalve ei kuulu Euroopa finantsjärelevalve süsteemi.
Samuti ei saa kriitiliste IKT teenuseosutajate järelevaatamise puhul arvesse võtta olukordi, kus
nad osutavad teenust pensionifondi valitsejatele.
Järgnevalt on esitatud ülevaade pensionifondi valitsejale kohalduvatest kehtivatest IKT ja
küberturvalisuse nõuetest/suunistest ning DORA kohaldumisel kohalduvatest nõuetest. Oluline
on siinjuures märkida, et DORA määruse muutmisel tuleb kohaldatavad sätted pensionifondi
valitsejate vaates uuesti riigisiseselt läbi analüüsida, et tagada, et ka muudatuste korral on neid
asjakohane kohaldada pensionifondi valitsejatele.
Kehtiv Uus
IKT riskijuhtimisraamistik (II peatükk)
§ IFS 344 lg 3 p 3: Sise-eeskirjadega
määratakse:
- nõuded infotehnoloogilise korralduse,
infoturbe tagamise ja talitluspidevuse
kohta.
Finantsinspektsiooni soovituslikud juhendid:
- Nõuded finantsjärelevalve subjekti
infotehnoloogia ja infoturbe
korraldusele;
- Nõuded finantsjärelevalve subjekti
talitluspidevuse protsessi
korraldamiseks.
- nõuded info- ja
kommunikatsioonitehnoloogilise
korralduse, infoturbe tagamise ja
talitluspidevuse kohta, mis peavad
asjakohasel juhul olema kooskõlas
Euroopa Parlamendi ja nõukogu
määruses (EL) 2022/2554, mis käsitleb
finantssektori digitaalset tegevuskerksust
ning millega muudetakse määrusi (EÜ)
nr 1060/2009, (EL) nr 648/2012, (EL)
nr 600/2014, (EL) nr 909/2014 ja (EL)
2016/1011 (ELT L 333, 27.12.2022, lk 1–
79), sätestatud info- ja
kommunikatsioonitehnoloogia riskide
juhtimise raamistikuga.
- IFS § 345 (11). Pensionifondi valitseja
suhtes kohaldatakse Euroopa Parlamendi
ja nõukogu määruse (EL) 2022/2554
artiklites 3–18, artikli 19 lõigetes 1–5,
28
artikli 22 lõikes 1, artiklites 24–30 ning
artiklis 45 sätestatut.“;
IKT intsidentide haldamine ja liigitamine ning nendest teavitamine (III peatükk)
Finantsinspektsiooni soovituslik juhend:
- Nõuded finantsjärelevalve subjekti
infotehnoloogia ja infoturbe korraldusele.
IFS § 345 (11). DORA määruse artiklid 17 ja
18, artikli 19 lõiked 1–5 ning artikli 21 lõige
1.
Digitaalse tegevuskerksuse testimine (IV peatükk)
Finantsinspektsiooni soovituslik juhend:
- Nõuded finantsjärelevalve subjekti
infotehnoloogia ja infoturbe
korraldusele;
- Nõuded finantsjärelevalve subjekti
talitluspidevuse protsessi
korraldamiseks.
IFS § 345 (11), artiklid 24–27.
Kolmandast isikust tuleneva IKT-riski juhtimine (V peatüki I jagu)
Finantsinspektsiooni soovituslikud juhendid:
- Nõuded finantsjärelevalve subjekti
infotehnoloogia ja infoturbe korraldusele.
- Nõuded finantsjärelevalve subjekti poolt
tegevuse edasiandmisele (Outsourcing).
IFS § 345 (11), DORA määruse artiklid 28–
30.
Teabe jagamise kokkulepped (VI peatükk)
- IFS § 345 (11), DORA määruse artikkel 45.
Selguse huvides tasub ka välja tuua, et uued digitaalse tegevuskerksuse nõuded ei kohaldu IFS
§ 3 lõikes 6 määratletud väikefondi valitsejatele.
IFS uus § 3451. DORA määruse artikli 19 lõike 1 kohaselt peab finantsasutus teavitama pädevat
asutust tõsistest IKT-ga seotud intsidentidest. Lisaks annab määrus liikmesriigile võimaluse
ette näha, et mõned või kõik finantssektori ettevõtjad esitavad pädevale asutusele või
küberturbe intsidentide lahendamise üksustele, mis on määratud või loodud direktiivi (EL)
2022/2555 kohaselt, samuti esialgse teate ja kõik raportid, kasutades DORA määruse artiklis 20
osutatud teavitusvorme (lõiked 1 ja 2). Lõikega 1 nähakse ette, et fondivalitseja teavitab lisaks
FI-le ka RIA-t.
Teavitused ja raportid intsidentide kohta tuleb esitada DORA määruse alamaktides kehtestatud
vorme kasutades, lähtudes Finantsinspektsiooni kehtestatud andmevahetusvormingust ja teabe
edastusviisist (vt tehniliste standardite eelnõu konsultatsioonidokumenti intsidentidest
teavitamise kohta).40 Nagu käesoleva seletuskirja punkti 2.3.2 alampunktis A kirjeldatud,
kasutab finantsasutus nii FI kui ka RIA teavitamisel ühekordset teabeedastamise viisi ehk selle
kehtestamisel tuleks Finantsinspektsioonil ka selle asjaoluga arvestada.
Intsidentide liigitamise kriteeriumid on ette nähtud DORA määruse artikli 18 lõikes 1, kuid
täpsemad kriteeriumid tõsiste intsidentide määratlemiseks töötavad välja ESA-d koostöös EKP
ja ENISA-ga.
Lisaks sätestab DORA määruse artikli 19 lõige 2, et finantsasutused võivad vabatahtlikult
teatada asjaomasele pädevale asutusele olulistest küberohtudest, kui nad peavad ohtu
finantssüsteemi, teenusekasutajate või klientide jaoks oluliseks, sealjuures võivad liikmesriigid
otsustada, et need finantsasutused, kes teatavad vabatahtlikult esimese lõigu kohaselt, võivad
40https://www.eiopa.europa.eu/system/files/2023-12/JC%202023%2070%20-
%20%20CP%20on%20draft%20RTS%20and%20ITS%20on%20major%20incident%20reporting%20under%20DORA.pdf
29
kõnealuse teate edastada ka direktiivi (EL) 2022/2555 kohaselt määratud või loodud küberturbe
intsidentide lahendamise üksustele.
IFS § 3631 uus lõige 3. Selguse huvides on ka tööandja pensionifondide puhul välja toodud, et
DORA määrust ei kohaldata sellise fondivalitseja suhtes, kes valitseb fondi, milles on vähem
kui 15 (sh) osakuomanikku.
IFS § 455 uus lõige 32. Paragrahv reguleerib järelevalve aluseid ja kohaldamist. Eelnõuga
lisatakse paragrahvi uus lõige, milles sätestatakse, et FI-l on DORA määruse kohase täitmise
üle järelevalve teostamisel kõik nimetatud määruses, IFS-is ja Finantsinspektsiooni seaduses
sätestatud õigused.
Nimelt on DORA määruse artikli 50 lõike 1 kohaselt pädevatel asutustel kõik DORA määruse
kohaste ülesannete täitmiseks vajalikud järelevalve-, uurimis- ja karistuste määramise volitused
ning lõikes 2 on miinimumnimekiri vastavatest volitustest. Näiteks on FI-l õigus tutvuda kõigi
dokumentidega või mis tahes vormis muude andmetega, mis võiksid olla FI ülesannete
täitmiseks olulised, ja saada või teha nende dokumentide koopiaid, teha kohapealseid kontrolle
või uurimisi ning nõuda määruse nõuete rikkumise korral parandus- ja ennetusmeetmete
võtmist. Kuna tegemist on miinimumnimekirjaga, siis on Finantsinspektsioonil õigus
rakendada ka muid IFS-is ja FISis sätestatud õigusi.
Finantsinspektsioonile antakse mh õigus rakendada DORA määruse artikli 50 lõikes 4
sätestatud halduskaristusi ja parandusmeetmeid. Sellisteks meetmeteks on:
- ettekirjutuse tegemine, et füüsiline või juriidiline isik lõpetaks rikkuva tegevuse ja hoiduks
selle tegevuse kordamisest;
- sellise tegevuse või tava peatamise nõudmine, mis on vastuolus määruse sätetega;
- mis tahes liiki meetmete võtmine, sealhulgas rahaliste meetmete, tagamaks, et
finantsasutused jätkavad õigusnormide järgimist;
- liikmesriigi õigusega lubatud ulatuses sideoperaatorite valduses olete andmeliiklusandmete
nõudmine, kui on piisav alus kahtlustada määruse nõuete rikkumist ja kui sellised andmed
võivad olla olulised määruse rikkumiste uurimisel (kuna liikmesriigi õigusega pole vastavat
õigust ette nähtud, siis käesolevat meedet ei saa rakendada), ning
- avalike teadaannete väljastamine, mis sisaldavad füüsilise või juriidilise isiku identiteeti ja
rikkumise laadi.
Kuna tegemist on jällegi miinimumnimekirjaga, on Finantsinspektsioonil õigus rakendada ka
muid IFS-ist ja FIS-ist tulenevaid meetmeid.
Et võetud meetmetel oleks hoiatav mõju laiemale avalikkusele, näeb määrus ette rikkumist
puudutavate otsuste avalikustamise. DORA määruse artikli 54 lõike 1 kohaselt avaldavad
pädevad asutused oma ametlikel veebisaitidel põhjendamatu viivituseta kõik halduskaristuse
määramise otsused, mida ei ole edasi kaevatud pärast seda, kui karistuse saanud isikut on
otsusest teavitatud. Lõige 5 näeb samas ette, et kui pädev asutus avaldab halduskaristuse
määramise otsuse, mis on asjaomastele kohtuasutustele edasi kaevatud, lisavad pädevad
asutused ühtlasi viivitamata oma ametlikule veebisaidile selle teabe ja hiljem kogu täiendava
teabe sellise edasikaebamise tulemuste kohta. Samuti avaldatakse kohtuotsus, millega
tühistatakse halduskaristuse määramise otsus.
Avaldada tuleb teave rikkumise liigi ja laadi kohta, vastutavad isikud ning määratud karistused.
Erandiks on olukorrad, kus juriidilise isiku nime või füüsilise isiku nime ja isikuandmete
avaldamine oleksid ebaproportsionaalsed või nende andmete avaldamine ohustaks
finantsturgude stabiilsust või pooleli olevat uurimist (eelkõige mõeldud järelevalve- ja
30
väärteomenetlust, kuid võib hõlmata ka kriminaalmenetlust tegevusloata tegutsemise puhul)
või põhjustaks asjaomasele isikule ebaproportsionaalselt suurt kahju. Sellisel puhul võib
avaldamise edasi lükata, jätta isikuid puudutav teave avaldamata või loobuda sellise kaasuse
kohta teabe avaldamisest üldse.
Kuigi DORA määruse artikkel 54 viitab vaid halduskaristuste avalikustamisele, on eurofondi
direktiivi 2009/65/EÜ artikli 99 lõikes 3 sätestatud, et liikmesriigid näevad ette, et pädevad
asutused võivad avalikustada meetmed ja karistused, mis määratakse käesoleva direktiivi
rakendamisel vastuvõetud sätete rikkumise korral, välja arvatud juhul, kui selline
avalikustamine ohustaks tõsiselt finantsturge, kahjustaks investorite huve või tekitaks
asjaomastele osalistele ebaproportsionaalset kahju. Kuna DORA nõuded integreeritakse
viidatud direktiivi, on pädeval asutusel alus avalikustada lisaks halduskaristustele ka muud
meetmed (nt ettekirjutus), kui rikutakse DORA nõudeid. Vastav õigus on FIS § 54 lõikes 5,
mille kohaselt on Inspektsioonil õigus täielikult või osaliselt avalikustada väärteoasjas tehtud
lahend või haldusakt või -leping, kui see on ette nähtud käesoleva seaduse § 2 lõikes 1
nimetatud seaduses või kui see on vajalik investorite, finantsjärelevalve subjektide klientide või
avalikkuse kaitseks või finantsturu õigus- või korrapärase toimimise tagamiseks.
IFS uus § 5034. Seadust täiendatakse uue karistusnormiga, mida FI saab rakendada DORA
määruses sätestatud nõuete rikkumise korral. Nimelt on DORA määruse artikli 50 lõikes 3
sätestatud, et liikmesriigid kehtestavad õigusnormid, milles sätestatakse asjakohased karistused
ja parandusmeetmed määruse rikkumise puhuks, ning tagavad nende tulemusliku rakendamise.
Sama artikli lõike 4 punktis c on sätestatud, et liikmesriigid annavad pädevatele asutustele
õiguse võtta mis tahes liiki meetmeid, sealhulgas rahalisi meetmeid, tagamaks, et finantssektori
ettevõtjad jätkavad õigusnormide järgimist. Eelnõuga nähakse ette, et füüsilise isiku korral on
võimalik karistada rahatrahviga kuni 5 000 000 eurot või kuni kahekordse väärteo tulemusel
teenitud kasule või ära hoitud kahjule vastavas summas ning juriidilise isiku korral karistatakse
rahatrahviga kuni 5 000 000 eurot või kuni kahekordse väärteo tulemusel teenitud kasule või
ära hoitud kahjule vastavas summas või kuni kümme protsenti juriidilise isiku või tema
konsolideerimisgrupi konsolideeritud käibest.
Uue paragrahvi sätestamisel on lähtutud IFS-is sätestatud kehtivatest rahatrahvimääradest ja
karistuste määramise alustest. Finantssektori karistusnormid on suures osas reguleeritud liidu
õiguses, kus reeglina on ette nähtud analoogsed meetmed karistuste rakendamiseks (sh
fikseeritud rahatrahvi piirmäärad). Kuna DORA määruse nõuded integreeritakse DORA
direktiiviga vastavatesse finantssektori õigusaktidesse (eurofondi puhul direktiivi 2009/65/EÜ),
on ka eelnõu puhul võetud lähenemine, et DORA nõuete rikkumise eest ette nähtud karistused
oleksid kooskõlas vastavates liidu õigusaktides ette nähtud karistussätetega. IFS uue paragrahvi
puhul on võetud aluseks direktiivi 2009/65/EÜ artikli 99 lõike 6 punktid e–g ja artikli 99a punkt
j. DORA direktiiviga muudetakse 2009/65/EÜ direktiivi artiklit 12 nii, et sinna lisatakse viide
DORA nõuete rakendamisele. Kuna 2009/65/EÜ direktiivi artikli 99a punkt j viitab artikli 12
rikkumisele, hõlmab see ühtlasi DORA nõuete rikkumist.
Uue paragrahvi lõike 1 sõnastuses on viidatud järgmistele DORA määruse nõuete rikkumistele:
- art 5–14: IKT- riski juhtimine;
- art 16–18, art 19 lõiked 1, 3–5: IKT intsidentide haldamine ja liigitamine ning nendest
teavitamine;
- art 24, 25, art 27 lõiked 1–8: digitaalse tegevuskerksuse testimine;
- art 28 lõiked 1–8, art 29, art 30 lõiked 1–4: kolmandast isikust tuleneva IKT-riski juhtimine;
- art 42 lg 3: kolmanda isikuga seotud riskide arvesse võtmine.
Seaduse normitehniline märkus. Muudatusega lisatakse viide DORA direktiivile.
31
3.5. Eelnõu § 5. Kindlustustegevuse seaduse muutmine
Direktiiv 2009/138/EÜ käsitleb IKT-riski teataval määral üldjuhtimise ja riskijuhtimise
üldsätetes, jättes teatavate nõuete täpsustamise delegeeritud õigusaktide ülesandeks, mitte alati
viidates selleks konkreetselt IKT-riskile. Kuna viidatud direktiiv viiakse kooskõlla DORA
määrusega, peegelduvad vastavad muudatused ka KindlTS-is.
KindlTS § 38 lõike 2 punkt 5 ja uus punkt 51 (ei ole seotud DORA direktiiviga, kuid on
tehniline muudatus, et vältida seaduses olevat tühja viidet). Kuna ÄS § 386 lõike 2 punkt 4 on
tunnistatud kehtetuks, korrigeeritakse KindlTS sõnastust ja kustutatakse viide kehtetule ÄS
punktile 4. ÄS-ist välja jäetud punkt sõnastatakse KindlTS-is. Seega peab kolmanda riigi
kindlustusandja Eestis filiaali asutamise loa taotlemisel esitama FI-le äriühingu põhikirja või
ühingulepingu asukohamaa seaduste kohaselt tõestatud ärakirja, kui põhikirja või
ühingulepingu registrile esitamine on nõutav ka ühingu asukohamaal.
KindlTS § 87 lõike 9 muutmine (ei ole seotud DORA direktiiviga, kuid seaduses parandatakse
EL määruse nimetus õigeks). Euroopa Parlamendi ja Nõukogu määrusega (EL) 2019/2033, 27.
november 2019, mis käsitleb investeerimisühingute suhtes kohaldatavaid usaldatavusnõudeid
ning millega muudetakse määrusi (EL) nr 1093/2010, (EL) nr 575/2013, (EL) nr 600/2014 ja
(EL) nr 806/2014, muudeti Euroopa Parlamendi ja nõukogu määruse (EL) nr 575/2013
pealkirja, mistõttu viiakse KindlTS-is viide määrusele kooskõlla selle õige nimega.
KindlTS § 96 täiendamine uue lõikega 71. Kindlustusandja juhtimissüsteemi nõuete hulka
kuulub ka DORA määruse rakendamine. Sealhulgas peab kindlustusandja kasutama ja haldama
info- ja võrgusüsteeme vastavalt DORA määruses sätestatule.
KindlTS § 105 muutmine. Kindlustusandja sise-eeskirjade puhul täpsustatakse, et nõuded
info- ja kommunikatsioonitehnoloogilise korralduse, infoturbe tagamise ja talitluspidevuse
kohta tuleb koostada kooskõlas DORA määruses sätestatud info- ja kommunikatsiooniriskide
juhtimise raamistikuga.
KindlTS uus § 1051. DORA määruse artikli 19 lõike 1 kohaselt peab finantsasutus teavitama
pädevat asutust tõsistest IKT-ga seotud intsidentidest. Lisaks annab määrus liikmesriigile
võimaluse ette näha, et mõned või kõik finantssektori ettevõtjad esitavad pädevale asutusele
või küberturbe intsidentide lahendamise üksustele, mis on määratud või loodud direktiivi (EL)
2022/2555 kohaselt, ka esialgse teate ja kõik raportid, kasutades DORA määruse artiklis 20
osutatud vorme (lõiked 1 ja 2). Lõikega 1 nähakse ette, et kindlustusandja teavitab lisaks FI-le
ka RIA-t.
Teavitused ja raportid intsidentide kohta tuleb esitada DORA määruse alamaktides kehtestatud
vorme kasutades, lähtudes Finantsinspektsiooni kehtestatud andmevahetusvormingust ja teabe
edastusviisist (vt tehniliste standardite eelnõu konsultatsioonidokumenti intsidentidest
teavitamise kohta).41 Nagu käesoleva seletuskirja punkti 2.3.2 alampunktis A kirjeldatud,
kasutab finantsasutus nii FI kui ka RIA teavitamisel ühekordset teabeedastamise viisi ehk selle
kehtestamisel tuleks Finantsinspektsioonil ka selle asjaoluga arvestada.
41https://www.eiopa.europa.eu/system/files/2023-12/JC%202023%2070%20-
%20%20CP%20on%20draft%20RTS%20and%20ITS%20on%20major%20incident%20reporting%20under%20DORA.pdf
32
Intsidentide liigitamise kriteeriumid on ette nähtud DORA määruse artikli 18 lõikes 1, kuid
täpsemad kriteeriumid tõsiste intsidentide määratlemiseks töötavad välja ESA-d koostöös EKP
ja ENISA-ga.
Lisaks sätestab DORA määruse artikli 19 lõige 2, et finantsasutused võivad vabatahtlikult
teatada asjaomasele pädevale asutusele olulistest küberohtudest, kui nad peavad ohtu
finantssüsteemi, teenusekasutajate või klientide jaoks oluliseks, sealjuures võivad liikmesriigid
otsustada, et need finantsasutused, kes teatavad vabatahtlikult esimese lõigu kohaselt, võivad
kõnealuse teate edastada ka direktiivi (EL) 2022/2555 kohaselt määratud või loodud küberturbe
intsidentide lahendamise üksustele (lõige 3).
KindlTS § 138 muutmine (ei ole seotud DORA direktiiviga). Paragrahvi lisatakse uus lõige,
mille kohaselt ei ole kindlustusandjate (v.a Euroopa äriühingud) piiriülene ümberkujundamine
lubatud. Piiriülene ümberkujundamine tähendab, et Eesti äriühingu saab ümber kujundada
lepinguriigi äriühinguks.
Euroopa Parlamendi ja nõukogu direktiiv (EL) 2019/2121, millega muudetakse direktiivi (EL)
2017/1132 seoses äriühingute piiriülese ümberkujundamise, ühinemise ja jagunemisega
põhjenduspunkti 57 kohaselt ei tohiks viidatud direktiiv mõjutada liidu õiguse kohaldamist, mis
reguleerib krediidivahendusettevõtjaid ja teisi finantsettevõtjaid, ega vastavalt kõnealusele liidu
õigusele kehtestatud liikmesriigi õigusnormide kohaldamist. Kindlustustegevust reguleeriva
Euroopa Parlamendi ja nõukogu direktiivi 2009/138/EÜ peaeesmärk on kindlustusvõtjate ja
soodustatud isikute asjakohane kaitse (põhjenduspunkt 14). Direktiivis ettenähtud
kindlustustegevuse loarežiimiga tagab, et kindlustusturul tegutsevad usaldusväärsed ja
jätkusuutlikud kindlustusandjad, kes on suutelised täitma kindlustuslepingutest tulenevaid
kohustusi. Luba annab kindlustusandjale õiguse tegutseda piiriüleselt Euroopa passi alusel.
Seega, arvestades, et finantssektoris teenuse osutamiseks peab isikul olema tegevusluba, mille
ta saab asukohariigi finantsjärelevalve asutuselt, ei ole direktiiviga 2009/138/EÜ kooskõlas
olukord, kus kindlustusandja liigub oma tegevuse ja kindlustusportfelliga teise lepinguriiki, kus
tal puudub vastava lepinguriigi finantsjärelevalve asutuse luba selles riigis kindlustusteenuse
osutamiseks. Samas ei ole tal võimalik tegevusluba taotleda, kui ta on samal ajal (veel) Eesti
registrisse kuuluv äriühing, kellel on Eestis kehtiv tegevusluba olemasoleva kindlustusportfelli
teenindamiseks. Kindlustusportfelli ei ole võimalik vahepealseks perioodiks, kui
kindlustusandja uues liikmesriigis tegevusluba taotleb, ootele panna, jättes samal ajal
teenindamata kõik kindlustusvõtjate, kindlustatute ja soodustatud isikute nõuded ja tegemata
väljamakseid kahjustatud isikutele (teatud juhtudel on ajakriitiline, et kindlustusandja reageerib
viivitamata kindlustusjuhtumisele, nt seoses tervisekindlustusega). Sealjuures on teise
liikmesriigi pädeval asutusel õigus tegevusloa andmisest ka keelduda.
Alternatiiv on asutada lepinguriigis uus äriühing, saada selle lepinguriigi järelevalveasutuselt
tegevusluba kindlustusteenuse osutamiseks, misjärel Eesti kindlustusandja saab selle ühinguga
ühineda või talle kindlustusportfelli üle anda. Sellisteks olukordadeks on KindlTS ette nähtud
ka vastav regulatsioon klientide kaitseks. Näiteks võib KindlTS § 161 lõike 1 kohaselt
kindlustusandja vabatahtlikult lõpetada üksnes tingimusel, et kindlustusportfell on kehtestatud
korras üle antud, kindlustuslepingud lõpetatud või kõik kindlustuslepingutest tulenevad
kohustused täidetud ning tema varad on piisavad kõigi võlausaldajate õigustatud nõuete
täielikuks rahuldamiseks. Kindlustusandja ühinemisel teise lepinguriigi kindlustusandjaga
tagatakse samuti kindlustusvõtjate, kindlustatute ja soodustatud isikute kaitse see läbi, et
ühinemiseks on vaja Finantsinspektsiooni luba. KindlTS § 144 lõike 2 punkti 5 kohaselt võib
Finantsinspektsioon keelduda ühinemisloa andmisest, kui ühinemine võib kahjustada
kindlustusvõtjate, kindlustatute või soodustatud isikute õigustatud huve.
33
Nagu eelpool osutatud, ei ole piiriülese ümberkujundamise puhul võimalik tagada, et
kindlustusandja liigub teise liikmesriiki ning tal on selles teises liikmesriigis juba olemas
tegevusluba, et koheselt jätkata klientide ees kohustuste täitmist. Selline liikumine ei ole
kooskõlas direktiivi 2009/138/EÜ tegevusloa režiimi ja peaeesmärgi ehk kindlustusvõtjate ja
soodustatud isikute asjakohase kaitsega.
Kuigi direktiiv (EL) 2019/2121 näeb ette meetmed võlausaldajate kaitseks, ei ole direktiiviga
tagatud piisav kliendikaitset juhuks, kui äriühing selles teises liikmesriigis tegevuse jätkamiseks
tegevusluba ei saa (teise riiki liikumine ei tähenda automaatselt liidu õigusest tuleneva
tegutsemisõiguse (tegevusloa) üleminekut). ÄS § 4918 reguleerib võlausaldajate kaitset, kuid
tagatise saamise õigus on vaid võlausaldajal, kelle nõuded on tekkinud enne piiriülese
ümberkujundamise projekti avalikustamist, ja nõuete osas, mis ei ole muutunud avalikustamise
kuupäevaks sissenõutavaks. Direktiivi ülevõtmise eelnõu seletuskirjas42 on selgitatud, et
liikmesriigil tuleb tagada selliste võlausaldajate kaitse, kelle nõuded tekkisid enne piiriülese
ümberkujundamise otsuse projekti avalikustamist ja need ei ole avalikustamise kuupäevaks
veel sissenõutavaks muutunud. Liikmesriigid peavad tagama, et võlausaldajad, kes ei ole rahul
tagatistega, mida pakutakse piiriülese ümberkujundamise otsuse projektis, võivad taotleda
asjakohaselt haldus- või kohtuorganilt piisavaid tagatisi kolme kuu jooksul alates piiriülese
ümberkujundamise otsuse projekti avalikustamisest, kui võlausaldajad suudavad
usaldusväärselt näidata, et nende nõuete rahuldamine on piiriülese ümberkujundamise tõttu
ohus ja nad ei ole saanud äriühingult piisavaid tagatisi. Tagatised peavad sealjuures olema
tingimuslikud, st sõltuma sellest, kas piiriülene ümberkujundamine ikkagi jõustub.
Siinjuures tasub meeles pidada, et käesoleval juhul on võlausaldajateks kindlustusvõtjad,
kindlustatud ja soodustatud isikud, kellele ei pruugi olla piisavalt teadlikust tagatist nõuda või
haldus- või kohtuorgani poole pöörduda. Seega kindlustusvõtjate ja kindlustatute kaitse
seisukohast ei ole võimalik tagada, et piiriülese ümberkujundamise korral oleks viidatud isikute
huvid piisavalt kaitstud.
KindlTS § 175 lõike 1 muutmine. Kuna DORA määrus kohaldub ka kindlustusvahendajatele,
sealhulgas §-s 175 defineeritud kõrvalvahendajatele, on § 175 lõikesse 1 lisatud viide uuele §-
le 1811, milles reguleeritakse, et kindlustusvahendajatele kohalduvad digitaalse
tegevuskerksuse nõudeid.
KindlTS § 179 lõike 1 punkti 2 muutmine (ei ole seotud DORA direktiiviga, kuid on seotud
EL õiguse rakendamisega). Paragrahv 179 lõikes 1 kohaselt peab vahendaja sõlmima
kindlustuse turustamisest tuleneva kohustuse rikkumisega tekitatud kahju hüvitamise
tagamiseks kohustusliku vastutuskindlustuslepingu ning sama lõike punktides 1–5 on
sätestatud miinimumnõuded, mis tingimustele see leping peab vastama. Punkti 2 kohaselt peab
kindlustussumma olema vähemalt 1 300 380 eurot ühe kindlustusjuhtumi kohta ja 1 924 560
eurot aastas kõigi esitatud nõuete kohta. Viidatud piirmäärade aluseks on kindlustusturustuse
direktiivi43 artikli 10 lõige 4. Eelnõus esitatud muudatuse aluseks on sama artikli lõige 7, mille
kohaselt vaatab EIOPA vastutuskindlustuse summad korrapäraselt läbi, et võtta arvesse
muutusi Eurostati avaldatavas Euroopa tarbijahinnaindeksis ning esitab komisjonile
regulatiivsete tehniliste standardite eelnõu uute piirmäärade kehtestamiseks. Lõike 7 kohaselt
vaadati esimest korda määrad üle 31. detsembriks 2017 ning edaspidi toimub see iga viie aasta
järel.
42 https://www.riigikogu.ee/tegevus/eelnoud/eelnou/75cf6d3f-bcfe-436e-bd51-3a1333c185ad/ariseadustiku-muutmise-ja-
sellega-seonduvalt-teiste-seaduste-muutmise-seadus-ariuhingute-piiriulene-liikumine 43 Euroopa Parlamendi ja nõukogu direktiiv (EL) 2016/97, mis käsitleb kindlustustoodete turustamist.
34
30. juunil 2023 esitas EIOPA komisjonile regulatiivsete tehniliste standardite eelnõu, millega
kohandatakse baassummasid vastavalt direktiivi (EL) 2016/97 artikli 10 lõikele 7 (vaatlusalune
periood oli 1. jaanuarist 2018. a kuni 31. detsembrini 2022. a). Kuna viidatud perioodil muutus
indeks 20,32%, muudetakse vastutuskindlustuse summasid järgmiselt:
Kehtiv summa (EUR) Uus summa [muutus] (EUR)
Kindlustussumma ühe
juhtumi kohta
1 300 380 1 564 610 [+264 230]
Kindlustussumma aastas
kõigi esitatud nõuete kohta
1 924 560 2 315 610 [+391 050]
Seoses eeltooduga viiakse ka § 179 kindlustussummad vastavusse uute EL õigusest tulenevate
uute baassummadega.
KindlTS uus § 1811. DORA määrus kohaldub nii kindlustusmaakleritele kui ka
kindlustusagentidele (lõige 1), samas on siinjuures oluline asjaolu, et määrust ei pea rakendama
mikroettevõtjast ning väikese ja keskmise suurusega kindlustusvahendajad. Seega, kui
ettevõtjas töötab vähem kui 250 inimest ja selle ettevõtja aastakäive ei ületa 50 miljonit eurot
ja/või aastabilanss ei ületa 43 miljonit eurot, siis määrus sellele vahendajale ei kohaldu (lõige
3).
Lõikes 2 sätestatakse, et tõsistest IKT intsidentidest ja küberohtudest teavitamisele
kohaldatakse §-s 1051 sätestatut, kindlustusvahendajad peavad teavitama nii FI-d kui ka RIA-t
tõsistest IKT-ga seotud intsidentidest.
KindlTS § 186 lõike 2 punkti 13 muutmine. Kindlustusmaakleri sise-eeskirjade puhul
täpsustatakse, et kui kindlustusmaaklerile kohaldub DORA määrus (sõnastuses kasutatud
„asjakohasel juhul“), siis nõuded info- ja kommunikatsioonitehnoloogilise korralduse,
infoturbe tagamise ja talitluspidevuse kohta peaksid olema koostatud kooskõlas DORA
määruses sätestatud IKT riskijuhtimise raamistikuga. Kuna üldjuhul Eesti
kindlustusvahendajad ei kuulu oma suuruse tõttu DORA kohaldamisalasse, on oluline, et ka
neile jääks siiski kohustus kehtestada sise-eeskirjaga nõuded tehnoloogilise korralduse,
infoturbe tagamise ja talitluspidevuse kohta.
KindlTS § 210 lõike 1 punkt 4 (ei ole seotud DORA direktiiviga, kuid on tehniline muudatus,
et vältida seaduses olevat tühja viidet). Kuna ÄS § 386 lõike 2 punkt 4 on tunnistatud kehtetuks,
korrigeeritakse KindlTS sõnastust ja kustutatakse viide kehtetule ÄS punktile 4. ÄS-ist välja
jäetud punkt sõnastatakse KindlTS-is. Seega peab kolmanda riigi kindlustusvahendaja Eestis
filiaali asutamise loa taotlemisel esitama FI-le äriühingu põhikirja või ühingulepingu
asukohamaa seaduste kohaselt tõestatud ärakirja, kui põhikirja või ühingulepingu registrile
esitamine on nõutav ka ühingu asukohamaal.
KindlTS § 224 uus lõige 3. Paragrahv reguleerib järelevalve ülesandeid ja õigusi. Eelnõuga
lisatakse paragrahvi uus lõige, milles sätestatakse, et FI-l on DORA määruse kohase täitmise
üle järelevalve teostamisel kõik nimetatud määruses, KindlTS-is ja FIS-is sätestatud õigused.
Nimelt on DORA määruse artikli 50 lõike 1 kohaselt pädevatel asutustel kõik DORA määruse
kohaste ülesannete täitmiseks vajalikud järelevalve-, uurimis- ja karistuste määramise volitused
ning lõikes 2 on miinimumnimekiri volitustest. Näiteks on FI-l õigus tutvuda kõigi
dokumentidega või mis tahes vormis muude andmetega, mis võiksid olla FI ülesannete
täitmiseks olulised, ja saada või teha nende dokumentide koopiaid, teha kohapealseid kontrolle
või uurimisi ning nõuda määruse nõuete rikkumise korral parandus- ja ennetusmeetmete
35
võtmist. Kuna tegemist on miinimumnimekirjaga, siis on Finantsinspektsioonil õigus
rakendada ka muid KindlTS-is ja FISis sätestatud õigusi.
Finantsinspektsioonile antakse mh õigus rakendada DORA määruse artikli 50 lõikes 4
sätestatud halduskaristusi ja parandusmeetmeid. Sellisteks meetmeteks on:
- ettekirjutuse tegemine, et füüsiline või juriidiline isik lõpetaks rikkuva tegevuse ja hoiduks
selle tegevuse kordamisest;
- sellise tegevuse või tava peatamise nõudmine, mis on vastuolus määruse sätetega;
- mis tahes liiki meetmete võtmine, sealhulgas rahaliste meetmete, tagamaks, et
finantsasutused jätkavad õigusnormide järgimist;
- liikmesriigi õigusega lubatud ulatuses sideoperaatorite valduses olete andmeliiklusandmete
nõudmine, kui on piisav alus kahtlustada määruse nõuete rikkumist ja kui sellised andmed
võivad olla olulised määruse rikkumiste uurimisel (kuna liikmesriigi õigusega pole vastavat
õigust ette nähtud, siis käesolev meedet ei saa rakendada), ning
- avalike teadaannete väljastamine, mis sisaldavad füüsilise või juriidilise isiku identiteeti ja
rikkumise laadi.
Kuna tegemist on jällegi miinimumnimekirjaga, on FI-l õigus rakendada ka muid KindlTS-ist
ja FIS-ist tulenevaid meetmeid.
Et võetud meetmetel oleks hoiatav mõju laiemale avalikkusele, näeb määrus ette rikkumist
puudutavate otsuste avalikustamise. DORA määruse artikli 54 lõike 1 kohaselt avaldavad
pädevad asutused oma ametlikel veebisaitidel põhjendamatu viivituseta kõik halduskaristuse
määramise otsused, mida ei ole edasi kaevatud pärast seda, kui karistuse saanud isikut on
otsusest teavitatud. Lõige 5 näeb samas ette, et kui pädev asutus avaldab halduskaristuse
määramise otsuse, mis on asjaomastele kohtuasutustele edasi kaevatud, lisavad pädevad
asutused ühtlasi viivitamata oma ametlikule veebisaidile selle teabe ja hiljem kogu täiendava
teabe sellise edasikaebamise tulemuste kohta. Samuti avaldatakse kohtuotsus, millega
tühistatakse halduskaristuse määramise otsus.
Avaldada tuleb teave rikkumise liigi ja laadi kohta, vastutavad isikud ning määratud karistused.
Erandiks on olukorrad, kus juriidilise isiku nime või füüsilise isiku nime ja isikuandmete
avaldamine oleksid ebaproportsionaalsed või nende andmete avaldamine ohustaks
finantsturgude stabiilsust või pooleli olevat uurimist (eelkõige mõeldud järelevalve- ja
väärteomenetlust, kuid võib hõlmata ka kriminaalmenetlust tegevusloata tegutsemise puhul)
või põhjustaks asjaomasele isikule ebaproportsionaalselt suurt kahju. Sellisel puhul võib
avaldamise edasi lükata, jätta isikuid puudutav teave avaldamata või loobuda sellise kaasuse
kohta teabe avaldamisest üldse.
Kuigi DORA määruse artikkel 54 viitab vaid halduskaristuste avalikustamisele, on FI-l õigus
FIS § 54 lõike 5 kohaselt avalikustada lisaks väärteo asjas tehtud lahendile haldusakt või -
leping, kui see on vajalik investorite, finantsjärelevalve subjektide klientide või avalikkuse
kaitseks või finantsturu õigus- või korrapärase toimimise tagamiseks.
KindlTS uus § 2571. Seadust täiendatakse uue karistusnormiga, mida FI saab kohaldada DORA
määruses sätestatud nõuete rikkumise korral. Nimelt on DORA määruse artikli 50 lõikes 3
sätestatud, et liikmesriigid kehtestavad õigusnormid, milles sätestatakse asjakohased
halduskaristused ja parandusmeetmed määruse rikkumise puhuks, ning tagavad nende
tulemusliku rakendamise. Sama artikli lõike 4 punktis c on sätestatud, et liikmesriigid annavad
pädevatele asutustele õiguse võtta mis tahes liiki meetmeid, sealhulgas rahalisi meetmeid,
tagamaks, et finantssektori ettevõtjad jätkavad õigusnormide järgimist. Eelnõuga nähakse ette,
et füüsilise isiku korral on võimalik karistada rahatrahviga kuni 700 000 eurot või kuni
36
kahekordse väärteo tulemusel teenitud kasule või ära hoitud kahjule vastavas summas ning
juriidilise isiku korral karistatakse rahatrahviga kuni 5 000 000 eurot või kuni kahekordse
väärteo tulemusel teenitud kasule või ära hoitud kahjule vastavas summas või kuni kümme
protsenti juriidilise isiku või tema konsolideerimisgrupi konsolideeritud käibest. Määrade
kehtestamisel on lähtutud §-s 257 sätestatud juhtimissüsteemi määradest.
Uue paragrahvi lõike 1 sõnastuses on viidatud järgmistele DORA määruse nõuete rikkumistele:
- art 5–14: IKT- riski juhtimine;
- art 16–18, art 19 lõiked 1, 3–5: IKT intsidentide haldamine ja liigitamine ning nendest
teavitamine;
- art 24, 25, art 27 lõiked 1–8: digitaalse tegevuskerksuse testimine;
- art 28 lõiked 1–8, art 29, art 30 lõiked 1–4: kolmandast isikust tuleneva IKT-riski juhtimine;
- art 42 lg 3: kolmanda isikuga seotud riskide arvesse võtmine.
KindlTS § 2633 muutmine (ei ole seotud DORA direktiiviga). Kuna paragrahv ei koosne
lõigetest, kustutatakse paragrahvist tekstiosa „käesoleva lõike“ ning „esimese lause“ asemel on
viide „eelmisele lausele“.
Seaduse normitehniline märkus. Muudatusega lisatakse viide DORA direktiivile.
3.6. Eelnõu § 6. Krediidiandjate ja -vahendajate seadus
KAVS § 28 lõike 5 muutmine (ei ole seotud DORA direktiiviga, seaduses parandatakse EL
määruse nimetus õigeks). Euroopa Parlamendi ja Nõukogu määrusega (EL) 2019/2033, 27.
november 2019, mis käsitleb investeerimisühingute suhtes kohaldatavaid usaldatavusnõudeid
ning millega muudetakse määrusi (EL) nr 1093/2010, (EL) nr 575/2013, (EL) nr 600/2014 ja
(EL) nr 806/2014, muudeti Euroopa Parlamendi ja nõukogu määruse (EL) nr 575/2013
pealkirja, mistõttu viiakse KAVSis olev viide määrusele kooskõlla selle õige nimega.
3.7. Eelnõu § 7. Krediidiasutuste seaduse muutmine
Pangandusvaldkonna direktiivis 2013/36/EL on sätestatud üldised sisejuhtimise reeglid ja
operatsiooniriski käsitlevad sätted, mis sisaldavad nõudeid situatsiooni- ja talitluspidevuse
kavadele, mille alusel kaudselt käsitletakse IKT-riski. Selleks, et käsitleda IKT-riski
ühemõtteliselt ja selgelt, muudetakse situatsiooni- ja talitluspidevuse plaanide nõudeid, et need
hõlmaksid kooskõlas DORA määrusega ka IKT-riskiga seotud talitluspidevuse plaane ning
reageerimis- ja taasteplaane.
Lisaks, selleks et tagada õigusselgus ning et pankade järelevalveasutused teeksid tulemuslikult
kindlaks ja jälgiksid IKT-riski juhtimist kooskõlas digitaalse tegevuskerksuse uue
raamistikuga, muudetakse järelevalvealase läbivaatamise ja hindamise protsessi kohaldamisala.
Eesmärk on katta ka riske, mis tuuakse välja IKTga seotud tõsiseid intsidente puudutavates
aruannetes ning mis on ilmnenud panga poolt DORA määruse alusel läbi viidud digitaalse
tegevuskerksuse testimise käigus.
KAS § 206 lõike 3 täpsustamine (ei ole seotud DORA direktiiviga). Kuna kolmanda riigi
krediidiasutus saab Eestis teenust osutada vaid filiaali kaudu, on selguse huvides täpsustatud,
et filiaal peaks olema kantud ka Eesti äriregistrisse. Ehk kui ÄS § 384 lõige 1 ütleb, et välismaa
äriühing võib filiaali kanda äriregistrisse, siis kolmanda riigi krediidiasutuste puhul tuleb filiaal
äriregistrisse kanda, kuna piiriülene teenuse osutamine filiaali asutamata/registreerimata ei ole
37
kolmanda riigi krediidiasutuse poolt lubatud. ÄS § 384 lõike 1 muudatust on selgitatud44
järgmiselt: „Filiaali registreerimise kohustuse kaotamise eesmärgiks on muuta filiaali kaudu
tegutsemine Eestis vabatahtlikuks. Kui välismaa äriühing soovib täiendavalt oma tegevuse
Eesti nähtavaks teha, et tema andmed oleks Eesti äriregistris kättesaadavad, on võimalus filiaal
Eesti äriregistris registreerida. See ei ole siiski ainuke võimalus välismaa äriühingule Eestis
tegutsemiseks. Välismaa äriühing võib tegutseda Eestis piiriüleselt ka nii, et Eesti äriregistris
filiaali ei registreeri. Seetõttu ei saa tekkida küsimust, kas on võimalik tegutseda ka
registreerimata filiaali kaudu ja millised on nõuded registreerimata filiaalile. Kui välismaa
äriühing ei ole äriregistris filiaali registreerinud, siis ei saa tema tegevust Eestis nimetada filiaali
kaudu tegutsemiseks, vaid nimetatakse välismaa äriühingu piiriüleseks tegevuseks.“.
KAS § 21 lõike 2 punkti 5 muutmine ja uus punkt 6 (ei ole seotud DORA direktiiviga, kuid
on tehniline muudatus, et vältida seaduses olevat tühja viidet). Kuna ÄS § 386 lõike 2 punkt 4
on tunnistatud kehtetuks, korrigeeritakse KAS sõnastust ja kustutatakse viide kehtetule ÄS
punktile 4. ÄS-ist välja jäetud punkt sõnastatakse KAS-is. Seega peab kolmanda riigi
krediidiasutus Eestis filiaali asutamise loa taotlemisel esitama FI-le äriühingu põhikirja või
ühingulepingu asukohamaa seaduste kohaselt tõestatud ärakirja, kui põhikirja või
ühingulepingu registrile esitamine on nõutav ka ühingu asukohamaal.
KAS uus § 824. Seadusesse lisatakse eraldi paragrahv operatsiooniriski juhtimise nõuete
sätestamiseks. Krediidiasutuse riskijuhtimise nõuete hulka kuulub mh DORA määruse
rakendamine. Sealhulgas peavad krediidiasutus info- ja võrgusüsteemid olema loodud ja
hallatud vastavalt DORA määruses sätestatule.
Kui KAS § 82 lõige 5 sätestab, et krediidiasutus peab kõigi oluliste äriprotsesside kohta välja
töötama talitluspidevuse plaani majandustegevuse taastamise ja jätkuvuse tagamiseks, siis § 822
lõige 2 täpsustab, et selle üheks osaks on ka piisavate info- ja kommunikatsioonitehnoloogia
talitluspidevuse põhimõtete ja plaanide ning reageerimis- ja taasteplaanide kehtestamine.
Tõhusaid talitluspidevuse ja taasteplaane on vaja selleks, et krediidiasustus saaks kohe ja
kiiresti lahendada IKT intsidendid, eelkõige tulla toime küberrünnetega, piirates kahju ja seades
prioriteediks tegevuse jätkamise ja taastemeetmed kooskõlas oma varunduspõhimõtetega.
Sealjuures ei tohiks selline tegevuse jätkamine kuidagi seada ohtu võrgu- ja infosüsteemide
terviklust ja turvalisust või andmete kättesaadavust, autentsust, terviklust ja konfidentsiaalsust.
DORA määruse kohaselt testib krediidiasutus kõiki funktsioone toetavate IKT-süsteemide IKT
talitluspidevuse plaane ning IKT reageerimis- ja taasteplaane vähemalt kord aastas ja kriitilise
tähtsusega või olulisi funktsioone toetavate IKT-süsteemide oluliste muudatuste korral.
Sealjuures lisatakse testimisplaanidesse stsenaariumid, mis käsitlevad küberründeid ja esmase
IKT-taristu ja varuvõimsuse vahelist ümberlülitust, varundamist ja varurajatisi.
Lõige 3. Kuna DORA määruse põhjenduspunktis nr 16 on selgitatud, et DORA määrus on NIS2
suhtes lex specialis, siis ei kohaldata krediidiasutuse suhtes neid KüTS sätteid, millega võetakse
üle NIS2 teemad, mis on juba DORA määruses reguleeritud, näiteks sätted IKT riskijuhtimise,
IKT intsidentide haldamise ja eelkõige tõsistest IKT intsidentidest teavitamise, samuti
digitaalse tegevuskerksuse testimise, teabevahetuse kokkulepete ja kolmandatest isikutest
tulenevat IKT-riskide kohta. Seega, muudatusettepaneku kohaselt ei kohaldata
krediidiasutustele KüTS 2. peatükki. Samuti ei kohaldata HOS sätet (§ 41 lg 1), mis viitab
KüTS §-dele 7 ja 8, mis kuuluvad KüTS 2. peatükki, kuid mida, nagu eelpool osutatud,
krediidiasutuste suhtes ei kohaldata.
44 Äriseadustiku ja raamatupidamise seaduse muutmise seaduse (digilahendused äriühinguõiguses) eelnõu seletuskiri
38
KAS uus § 923. DORA määruse artikli 19 lõike 1 kohaselt peab finantsasutus teavitama pädevat
asutust (FI-d) tõsistest IKT-ga seotud intsidentidest. Lisaks annab määrus liikmesriigile
võimaluse ette näha, et mõned või kõik finantssektori ettevõtjad esitavad pädevale asutusele
või küberturbe intsidentide lahendamise üksustele, mis on määratud või loodud direktiivi (EL)
2022/2555 kohaselt, ka esialgse teate ja kõik raportid, kasutades DORA määruse artiklis 20
osutatud vorme (lõiked 1 ja 3). Lõikega 1 nähakse ette, et krediidiasutus teavitab lisaks FI-le
ka RIA-t. Teavitused ja raportid intsidentide kohta tuleb esitada DORA määruse alamaktides
kehtestatud vorme kasutades, lähtudes Finantsinspektsiooni kehtestatud
andmevahetusvormingust ja teabe edastusviisist (vt tehniliste standardite eelnõu
konsultatsioonidokumenti intsidentidest teavitamise kohta).45 Nagu käesoleva seletuskirja
punkti 2.3.2 alampunktis A kirjeldatud, kasutab finantsasutus nii FI kui ka RIA teavitamisel
ühekordset teabeedastamise viisi ehk selle kehtestamisel tuleks Finantsinspektsioonil ka selle
asjaoluga arvestada.
Intsidentide liigitamise kriteeriumid on ette nähtud DORA määruse art 18 lõikes 1, kuid
täpsemad kriteeriumid tõsiste intsidentide määratlemiseks töötavad välja ESA-d koostöös EKP
ja ENISA-ga.
Lõige 3. Selleks, et mitte kohaldada krediidiasutustele, kes on elutähtsa teenuse osutajad HOS
§ 38 lõike 1 tähenduses, topelt teavitamise nõuded, loetakse DORA kohase teavitusega HOS §
38 lõike 3 punktis 4 sätestatud elutähtsa teenuse osutaja teavitamise kohustus täidetuks, kui
tegemist on tõsise IKT intsidendiga. Selguse tagamiseks on lisatud lõikesse ka täpsustus, et kui
HOS § 37 lõike 3 punktis sätestatud sündmus ei liigitu tõsiseks IKT intsidendid, mis tähendab,
et sellest teavitamisele ei kohaldu ka DORA kohased teavitamise nõuded, kohaldub sellisest
sündmusest teavitamisele HOS ja selle § 37 lõike 2 alusel kehtestatud määrus. Vt selgitust ka
FIS 4711 lõike 3 juures.
Lõige 4. Lisaks sätestab DORA määruse art 19 lõige 2, et finantsasutused võivad vabatahtlikult
teatada asjaomasele pädevale asutusele olulistest küberohtudest, kui nad peavad ohtu
finantssüsteemi, teenusekasutajate või klientide jaoks oluliseks, sealjuures võivad liikmesriigid
otsustada, et need finantsasutused, kes teatavad vabatahtlikult esimese lõigu kohaselt, võivad
kõnealuse teate edastada ka direktiivi (EL) 2022/2555 kohaselt määratud või loodud küberturbe
intsidentide lahendamise üksustele.
KAS § 96 muutmine. Lõikesse 5 on lisatud viide digitaalse tegevuskerksuse testimise käigus
tuvastatud riskile. Nimelt jälgib ja hindab FI, kas krediidiasutuse rakendatavad strateegiad,
juhtimise korraldus, protseduurid, sealhulgas raamatupidamises rakendatavad protseduurid,
aruandlussüsteemid ja sisekontroll on kooskõlas Euroopa Parlamendi ja nõukogu määruse (EL)
nr 575/2013, krediidiasutuste seaduse ja muude õigusaktide nõuetega, selleks, et
usaldusväärselt hinnata riske, sealhulgas süsteemset riski, digitaalse tegevuskerksuse testimise
käigus ilmnenud riski ja stressitesti käigus ilmnenud riski. Nagu öeldud, uuendus on, et jälgida
ja hinnata tuleb ka digitaalse testimise käigus tuvastatud riske.
Muudatuse aluseks on direktiivi 2013/36/EL art 97 lõike 1 muudatus. Lõikesse 1 on lisatud
viide digitaalse tegevuskerksuse testimise käigus tuvastatud riskidele. Kuna sama artikli lõige
3 ütleb, et lõikes 1 osutatud läbivaatamisele ja hindamisele tuginedes otsustavad pädevad
asutused, kas korrad, strateegiad, protsessid ja mehhanismid, mida finantsinstitutsioonid on
rakendanud, ja nende omavahendid ning nende likviidsus tagavad riskide usaldusväärse
45https://www.eiopa.europa.eu/system/files/2023-12/JC%202023%2070%20-
%20%20CP%20on%20draft%20RTS%20and%20ITS%20on%20major%20incident%20reporting%20under%20DORA.pdf
39
juhtimise ja piisava katmise, käib see ka digitaalse tegevuskerksuse testimise käigus ilmnenud
riskide kohta. Seega hindab FI § 96 lõike 5 kohaselt ka digitaalse tegevuskerksuse testimise
käigus tuvastatud riskide puhul, kas likviidsus ja omavahendid on piisavad krediidiasutuse
usaldusväärseks juhtimiseks ja riskide katmiseks.
KAS § 99 muutmine. Direktiivi 2013/36/EL artikkel 65 sätestab, kellelt pädeval asutusel on
õigus nõuda teavet, mida ta vajab järelevalveliste ülesannete täitmiseks. Kehtivat nimekirja on
täpsustatud viitega kolmandast isikust info-ja kommunikatsioonitehnoloogia teenuse osutajale.
DORA määruse artikli 3 punkti 19 kohaselt on tegemist ettevõtjaga, kes osutab IKT-teenuseid.
KAS § 99 lõike 1 punkt 4 küll sätestab juba, et FI-l on järelevalve teostamiseks õigus nõuda
aruandeid, tasuta teavet, dokumente ning suulisi ja kirjalikke selgitusi järelevalve teostamisel
tähtsust omavate asjaolude kohta mh kolmandalt isikult (põhjendatud vajaduse korral), kuid
selguse huvides on uues punktis 41 eraldi välja toodud, et selliseks isikuks on ka IKT
teenuseosutaja.
KAS § 103 uus lõige 32. Paragrahv reguleerib ettekirjutuse tegemist ja muude meetmete
rakendamist. Eelnõuga lisatakse paragrahvi uus lõige, milles sätestatakse, et FI-l on DORA
määruse kohase täitmise üle järelevalve teostamisel kõik nimetatud määruses, KAS-is ja FIS-
is sätestatud õigused.
Nimelt on DORA määruse artikli 50 lõike 1 kohaselt pädevatel asutustel kõik DORA määruse
kohaste ülesannete täitmiseks vajalikud järelevalve-, uurimis- ja karistuste määramise volitused
ning lõikes 2 on miinimumnimekiri volitustest. Näiteks on FI-l õigus tutvuda kõigi
dokumentidega või mis tahes vormis muude andmetega, mis võiksid olla FI ülesannete
täitmiseks olulised, ja saada või teha nende dokumentide koopiaid, teha kohapealseid kontrolle
või uurimisi ning nõuda määruse nõuete rikkumise korral parandus- ja ennetusmeetmete
võtmist. Kuna tegemist on miinimumnimekirjaga, siis on Finantsinspektsioonil õigus
rakendada ka muid KAS-is ja FIS-is sätestatud õigusi.
Finantsinspektsioonile antakse mh õigus rakendada DORA määruse artikli 50 lõikes 4
sätestatud halduskaristusi ja parandusmeetmeid. Sellisteks meetmeteks on:
- ettekirjutuse tegemine, et füüsiline või juriidiline isik lõpetaks rikkuva tegevuse ja hoiduks
selle tegevuse kordamisest;
- sellise tegevuse või tava peatamise nõudmine, mis on vastuolus määruse sätetega;
- mis tahes liiki meetmete võtmine, sealhulgas rahaliste meetmete, tagamaks, et
finantsasutused jätkavad õigusnormide järgimist;
- liikmesriigi õigusega lubatud ulatuses sideoperaatorite valduses olete andmeliiklusandmete
nõudmine, kui on piisav alus kahtlustada määruse nõuete rikkumist ja kui sellised andmed
võivad olla olulised määruse rikkumiste uurimisel (kuna liikmesriigi õigusega pole vastavat
õigust ette nähtud, siis käesolev meedet ei saa rakendada), ning
- avalike teadaannete väljastamine, mis sisaldavad füüsilise või juriidilise isiku identiteeti ja
rikkumise laadi.
Kuna tegemist on jällegi miinimumnimekirjaga, on FI-l õigus rakendada ka muid KAS-ist ja
FIS-ist tulenevaid meetmeid.
Et võetud meetmetel oleks hoiatav mõju laiemale avalikkusele, näeb määrus ette rikkumist
puudutavate otsuste avalikustamise. DORA määruse artikli 54 lõike 1 kohaselt avaldavad
pädevad asutused oma ametlikel veebisaitidel põhjendamatu viivituseta kõik halduskaristuse
määramise otsused, mida ei ole edasi kaevatud pärast seda, kui karistuse saanud isikut on
otsusest teavitatud. Lõige 5 näeb samas ette, et kui pädev asutus avaldab halduskaristuse
määramise otsuse, mis on asjaomastele kohtuasutustele edasi kaevatud, lisavad pädevad
40
asutused ühtlasi viivitamata oma ametlikule veebisaidile selle teabe ja hiljem kogu täiendava
teabe sellise edasikaebamise tulemuste kohta. Samuti avaldatakse kohtuotsus, millega
tühistatakse halduskaristuse määramise otsus.
Avaldada tuleb teave rikkumise liigi ja laadi kohta, vastutavad isikud ning määratud karistused.
Erandiks on olukorrad, kus juriidilise isiku nime või füüsilise isiku nime ja isikuandmete
avaldamine oleksid ebaproportsionaalsed või nende andmete avaldamine ohustaks
finantsturgude stabiilsust või pooleli olevat uurimist (eelkõige mõeldud järelevalve- ja
väärteomenetlust, kuid võib hõlmata ka kriminaalmenetlust tegevusloata tegutsemise puhul)
või põhjustaks asjaomasele isikule ebaproportsionaalselt suurt kahju. Sellisel puhul võib
avaldamise edasi lükata, jätta isikuid puudutav teave avaldamata või loobuda sellise kaasuse
kohta teabe avaldamisest üldse.
Nii DORA määruse artikkel 54 kui ka krediidiasutuste direktiivi 2013/36/EL artikkel 68
viitavad halduskaristuste avaldamisele, kuid FIS § 54 lõige 5 annab FI-le õiguse avalikustada
täielikult või osaliselt nii väärteoasjas tehtud lahend kui ka haldusakt või -leping, kui see on
vajalik investorite, finantsjärelevalve subjektide klientide või avalikkuse kaitseks või
finantsturu õigus- või korrapärase toimimise tagamiseks.
KAS §-de 13423–13425 kehtetuks tunnistamine. Kuna eelnõuga lisandub vastutuse peatükki
uus paragrahv uue koosseisuga, tunnistatakse kehtetuks paragrahvid, mis oma sisult peaksid
olema vastutuse peatüki kolm kõige viimast paragrahvi – paragrahv, mis selgitab, kuidas
määrata juriidilise isiku ja konsolideerimisgrupi käivet trahvi suuruse arvutamisel, paragrahv
väärtegude aegumise kohta ning paragrahv väärtegude menetleja kohta. Paragrahvid
sätestatakse uuesti §-des 1401–1403.
KAS uus § 13426. Seadust täiendatakse uue karistusnormiga, mida FI saab kohaldada DORA
määruses sätestatud nõuete rikkumise korral. Nimelt on DORA määruse artikli 50 lõikes 3
sätestatud, et liikmesriigid kehtestavad õigusnormid, milles sätestatakse asjakohased
halduskaristused ja parandusmeetmed määruse rikkumise puhuks, ning tagavad nende
tulemusliku rakendamise. Sama artikli lõike 4 punktis c on sätestatud, et liikmesriigid annavad
pädevatele asutustele õiguse võtta mis tahes liiki meetmeid, sealhulgas rahalisi meetmeid,
tagamaks, et finantssektori ettevõtjad jätkavad õigusnormide järgimist. Eelnõuga nähakse ette,
et füüsilise isiku korral on võimalik karistada rahatrahviga kuni 5 000 000 eurot või kuni
kahekordse väärteo tulemusel teenitud kasule või ära hoitud kahjule vastavas summas ning
juriidilise isiku korral karistatakse rahatrahviga kuni 5 000 000 eurot või kuni kahekordse
väärteo tulemusel teenitud kasule või ära hoitud kahjule vastavas summas või kuni kümme
protsenti juriidilise isiku või tema konsolideerimisgrupi konsolideeritud käibest.
Uue paragrahvi sätestamisel on lähtutud KAS-is sätestatud kehtivatest karistusmääradest ja
karistuste määramise alustest. Finantssektori karistusnormid on suures osas reguleeritud liidu
õiguses, kus reeglina on ette nähtud analoogsed meetmed karistuste rakendamiseks (sh
fikseeritud rahatrahvi piirmäärad). Kuna DORA määruse nõuded integreeritakse DORA
direktiiviga vastavatesse finantssektori õigusaktidesse (krediidiasutuste puhul direktiivi
2013/36/EL), on ka eelnõu puhul võetud lähenemine, et DORA nõuete rikkumise eest ette
nähtud karistused oleksid kooskõlas vastavates liidu õigusaktides ette nähtud karistussätetega.
KAS uue paragrahvi puhul on võetud aluseks 2013/36/EL direktiivi artikli 67 lõike 1 punkt d
ja lõike 2 punktid e–g. DORA direktiiviga muudetakse 2013/36/EL direktiivi artiklit 74 nii, et
sinna lisatakse viide DORA nõuete rakendamisele. Kuna 2013/36/EL direktiivi artikli 66 lõike
1 punkt d viitab artikli 74 rikkumisele, hõlmab see ühtlasi DORA nõuete rikkumist.
Uue paragrahvi lõike 1 sõnastuses on viidatud järgmistele DORA määruse nõuete rikkumistele:
41
- art 5–14: IKT- riski juhtimine;
- art 16–18, art 19 lõiked 1, 3–5: IKT intsidentide haldamine ja liigitamine ning nendest
teavitamine;
- art 24, 25, art 27 lõiked 1–8: digitaalse tegevuskerksuse testimine;
- art 28 lõiked 1–8, art 29, art 30 lõiked 1–4: kolmandast isikust tuleneva IKT-riski juhtimine;
- art 42 lg 3: kolmanda isikuga seotud riskide arvesse võtmine.
KAS uued paragrahvi. Muudatus on normitehniline. 2002. aastal46 tunnistati kehtetuks KAS
§-d 135–140, mistõttu on kehtetuks tunnistatud §-de 13423–13425 uuesti sõnastamisel kasutatud
numeratsiooni 1401 ja 1402, vältimaks, et iga kord peab samad paragrahvid uuesti kehtetuks
tunnistama ja uuesti kehtestama, kui on soov lisada vastutuse peatükki uued karistuse
paragrahvid.
Finantssektori väärtegude kolmeaastased aegumistähtajad nähti ette finantsvaldkonna
väärteokaristuste reformi raames. Paralleelselt menetleti JuMi vastutusvaldkonda kuuluvat
karistusseadustiku muutmise ja sellega seonduvalt teiste seaduste muutmise seadust (Euroopa
Liidu õigusest tulenevad rahatrahvid), mille seletuskirjas on selgitatud, et
„väljatöötamiskavatsuse kooskõlastamisel avaldati arvamust, et kõrgema rahatrahvi
ülemmääraga karistatavate väärtegude korral tuleks sätestada senisest pikem aegumistähtaeg.
Eelnõu koostamisel leiti algselt, et kuna kehtiv õigus võimaldab teatud väärtegude korral
sätestada kaheaastase aegumistähtaja asemel kolmeaastase aegumistähtaja (KarS § 81 lg 3) ning
suurema ebaõigussisuga teise astme kuritegu aegub viie aastaga (KarS § 81 lg 1 p 2), ei ole
praegu erisuse loomine vajalik. Sellegipoolest leiti ka eelnõu kooskõlastamisel esitatud
arvamustes jätkuvalt, et väärtegude üldine aegumistähtaeg ei võimalda finants- ja andmekaitse
valdkonnas väärteomenetlusi tõhusalt läbi viia, arvestades nendes valdkondades toime
pandavate väärtegude keerukust“. Teise lugemise seletuskirjas on lisaks, et „esimese lugemise
läbinud eelnõus ei nähtud ette väärtegude aegumistähtaja pikendamist, vaid sätestati täiendavad
aegumise katkemise alused. Arvestades siiski teatud valdkondade eripära, võib senisest
suuremate trahvide korral olla põhjendatud ka pikemate aegumistähtaegade sätestamine. Nii
näiteks on EL määruse (EU) 468/2014 artikli 130 kohaselt Euroopa Keskpanga poolt
kohaldatavate trahvide korral aegumistähtajaks 5 aastat. Kui krediidiasutus ei allu Euroopa
Keskpanga järelevalvele, oleks Eestis sama rikkumise korral aegumistähtaeg põhjendamatult
lühem. Kehtiv KarS § 81 lg 3 näeb ette, et üldreeglina on väärteo aegumistähtaeg 2 aastat ning
seaduses sätestatud juhtudel võib ette näha kolmeaastase aegumistähtaja. Ettepaneku kohaselt
jääks KarS § 81 lg 3 üldreegliks 2 aastat, kuid seaduses võib ette näha ka kuni 5-aastase
aegumistähtaja (so kolme-, nelja- või viieaastase aegumistähtaja). Arvestades siiski, et 5-
aastane aegumistähtaeg on ka teise astme kuriteo aegumistähtajaks, peaks nii pikk
aegumistähtaeg väärtegude korral olema siiski erandlik.“.
Finantsvaldkonnas võib olla tegemist väga keeruliste kaasustega, mis on tavaliselt nn
peitsüüteod (nagu näiteks ka maksustamise valdkonna süüteod), s.t. rikkumise toimepanemise
asjaolud ei ole kergelt märgatavad, kannatanut ei ole või tema isik ei ole teada ja süüteo
toimepannud isik teeb kõik endast oleneva, et järelevalveasutus ei avastaks rikkumist.
Seaduse normitehniline märkus. Muudatusega lisatakse viide DORA direktiivile.
3.8. Eelnõu § 8. Makseasutuste ja e-raha asutuste seaduse muutmine
Direktiivis (EL) 2015/2366 on sätestatud erinormid IKT turvalisuskontrollide ja
riskimaanduselementide kohta seoses makseteenuste osutamiseks tegevusloa saamisega. Loa
46 https://www.riigiteataja.ee/akt/212735
42
andmise norme on direktiivis muudetud, et viia need kooskõlla DORA määrusega. Lisaks
võimaldatakse makseasutustel kasutada ühtset, täielikult ühtlustatud intsidentidest teatamise
mehhanismi seoses kõigi operatsiooni- ja turvaintsidentidega, olenemata sellest, kas need on
maksetega seotud või mitte.
MERAS § 3 muutmine (ei ole seotud DORA direktiiviga, seaduses parandatakse EL määruse
nimetus õigeks). Euroopa Parlamendi ja Nõukogu määrusega (EL) 2019/2033, 27. november
2019, mis käsitleb investeerimisühingute suhtes kohaldatavaid usaldatavusnõudeid ning
millega muudetakse määrusi (EL) nr 1093/2010, (EL) nr 575/2013, (EL) nr 600/2014 ja (EL)
nr 806/2014, muudeti Euroopa Parlamendi ja nõukogu määruse (EL) nr 575/2013 pealkirja,
mistõttu viiakse MERAS-es olev viide määrusele kooskõlla selle õige nimetusega.
MERAS § 4 lõike 1 punkti 9 muutmine. Paragrahvis 4 on reguleeritud, milliseid teenuseid ei
peeta makseteenusteks. Muudatus on terminoloogiline ning infotehnoloogiaalase teenuse
asemel kasutatakse terminit info- ja kommunikatsioonitehnoloogiateenus. Muudatuse aluseks
on DORA direktiiviga direktiivi 2015/2366 artikli 3 punkti j muutmine.
MERAS § 7 lõike 1 muutmine (ei ole seotud DORA direktiiviga). Muudatusega kehtestatakse
piirang, mille kohaselt võib e-raha asutus tegutseda üksnes aktsiaseltsina, kui ta osutab mh
makseteenuseid. Kehtiva seaduse kohaselt saab e-raha asutus osutada teatud makseteenuseid
osaühinguna, kuigi makseasutus peab samade teenuste osutamiseks olema aktsiaselts.
MERAS § 15 lõike 1 punkti 9 muutmine. Makseteenuste osutamise tegevusloa taotlemisel
tuleb FI-le muu hulgas esitada info- ja kommunikatsiooniteenuste kasutamise kord. IKT-teenus
on defineeritud DORA määruse artikli 3 punktis 21. Tegemist on digi- ja andmeteenusega, mida
osutatakse pidevalt IKT-süsteemide kaudu ühele või mitmele sise- või väliskasutajale,
sealhulgas riistvara teenusena ja riistvarateenused, mis hõlmab tehnilise toe pakkumist riistvara
pakkuja tarkvara- või püsivarauuenduste kaudu (va tavapärased analoogtelefoniteenused).
MERAS § 15 lõike 11 punktis 2 on täpsustatud, mida peab sisaldama turvapoliitika kirjeldus,
mis tuleb tegevusloa taotlemisel FI-le esitada. Muudatusega täpsustatakse, et turvapoliitika
kirjeldus peaks sisaldama mh selgitust, kuidas tagatakse digitaalsele tegevuskerksuse kõrge
tase, järgides sealjuures DORA määruse IKT riskijuhtimise nõudeid.
MERAS § 17 lõike 5 muutmine (ei ole DORA direktiivi ülevõtmine, muudatusega
täpsustatakse kehtivat õigust). MERAS § 17 lõige 5 sätestab, et FI võib jätta tegevusloa taotluse
läbi vaatamata, kui taotleja ei ole kõrvaldanud puudusi ettenähtud tähtaja jooksul või ei ole
esitanud tähtpäevaks nõutud andmeid ja dokumente. Muudatusettepanekuga laiendatakse
taotluse läbi vaatamata jätmise võimalust ka olukorrale, kus taotlus on esitatud oluliste
puudustega. Lisaks kustutatakse lõike teine lause.
MERAS § 24 lõike 3 muutmine ja täiendamine uue lõikega 41 (ei ole seotud DOA
direktiiviga). MERAS sätted, mis reguleerivad piiriülest makseteenuse osutamist kolmandas
riigis, on ebaselged ja puudulikud, mistõttu on FI-l takistatud selliste taotluste menetlemine,
mille puhul soovitakse teenust osutada kolmandas riigis. MERAS § 24 lõike 3 kehtiva sõnastuse
kohaselt kohaldatakse Eesti makseasutuse ja e-raha asutuse poolt kolmandas riigis teenuste
osutamisele MERAS §-des 25-28, § 29 lõigetes 1, 2, 8 ja 10 ning § 92 lõigetes 11 ja 12
sätestatut. MERAS §-d 25–28 reguleerivad kolmandas riigis filiaali asutamist. Piiriüleselt
teenuse osutamisele kohaldatakse § 29 lõigetes 1, 2, 8 ja 10 sätestatut. Paragrahv 29 reguleerib
teises lepinguriigis filiaali asutamist ja piiriüleselt teenuse osutamist. Lõike 1 kohaselt tuleb FI-
le esitada andmed ja dokumendid (lõike 2 kohaselt eesti keeles). Ükski järgnev viidatav säte ei
reguleeri, mida FI peab talle esitatud andmete ja dokumentidega tegema. Samas ei ole
43
asjakohane reguleerida kolmanda riigi järelevalveasutusega suhtlust (andmete ja dokumentide
edastamist ja sihtriigi järelevalveasutuselt hinnangu saamist), kuna see ei pruugi olla kooskõlas
kolmanda riigi õigusega. Lõike 8 teine lause viitab läbi lõike 6 punkti 1, et FI peab heakskiidu
andma, aga samas nimetatud heakskiidu aluseks on MERAS § 29 lõike 6 kohaselt „sihtriigi
finantsjärelevalve asutuse hinnang“, mille saamine, nagu osutatud, ei ole rakendatav, kui FI
pole sihtriigi järelevalveasutusele hinnangu saamiseks andmeid ja dokumente edastanud.
Muudatusettepanekuga nähakse ette, et kolmandas riigis piiriüleselt teenuse osutamiseks peab
makseasutusel ja e-raha asutusel olema selles riigis tegutsemise luba ning selle taotlemisele,
menetlemisele, andmisele ja kehtetuks tunnistamisele kohaldatakse samu reegleid, mis on ette
nähtud kolmandas riigis filiaali asutamisele. Samas, § 25 lõike 2 asemel tuleb FI-le esitada §
29 lõike 1 punktides 1 ja 2 nimetatud andmed ja dokumendid. Seega tuleb äriplaani asemel
esitada tegevuskava, mis sisaldab andmeid kõigi sihtriigis osutatavate teenuste kohta. Kuna
äriplaani asemel esitatakse tegevuskava, siis § 27 punktides 3 ja 4 äriplaani kohta sätestatut
tuleks kohaldada tegevuskava suhtes. Ehk FI võib keelduda filiaali asutamise loa andmisest,
kui makseasutuse või e-raha asutuse finantsseisund, organisatsiooniline ülesehitus ja muud
võimalused ei ole piisavad tegevuskavas nimetatud teenuste osutamiseks kolmandas riigis või
kui tegevuskava rakendamine võib kahjustada makseasutust või e-raha asutust, tema
aktsionäride huve, makseasutuse või e-raha asutuse finantsseisundit või tegevuse
usaldusväärsust Eestis, teises lepinguriigis või kolmandas riigis.
MERAS § 32 lõike 2 punkti 6 muutmine ja uus punkt 61 (ei ole seotud DORA direktiiviga,
kuid on tehniline muudatus, et vältida seaduses olevat tühja viidet). Kuna ÄS § 386 lõike 2
punkt 4 on tunnistatud kehtetuks, korrigeeritakse MERAS sõnastust ja kustutatakse viide
kehtetule ÄS punktile 4. ÄS-ist välja jäetud punkt sõnastatakse MERAS-es. Seega peab
kolmanda riigi makseasutus või e-raha asutus Eestis filiaali asutamise loa taotlemisel esitama
FI-le äriühingu põhikirja või ühingulepingu asukohamaa seaduste kohaselt tõestatud ärakirja,
kui põhikirja või ühingulepingu registrile esitamine on nõutav ka ühingu asukohamaal.
MERAS § 44 lõike 1 punkti 3 muutmine (ei ole seotud DORA direktiiviga). Muudatusega
parandatakse seaduses olev ekslik viide. Õige on viidata § 54 asemel §-le 39, mis reguleerib
olulise osaluse omandamisest FI teavitamist.
MERAS § 50 lõike 3 punkti 6 muutmine. Terminoloogiline muudatus, kus termin
infotehnoloogiaalase asemel kasutatakse terminit info- ja kommunikatsioonitehnoloogia.
MERAS § 50 lõike 3 punkti 9 muutmine. Makseasutuses ja e-raha asutuses peab sise-
eeskirjadega kehtestama intsidentidest teatamise korra. Korra kehtestamisel tuleks arvesse võtta
DORA määruse kolmandas peatükis sätestatud IKT intsidentide haldamise ja liigitamise ning
intsidentidest teavitamise nõudeid. DORA määruse kolmandas peatükis sätestatud nõudeid
kohaldatakse ka tegevust või turvalisust mõjutavate maksetega seotud intsidentide ning
tegevust või turvalisust mõjutavate maksetega seotud tõsiste intsidentide suhtes.
MERAS § 50 lõike 3 punkti 11 muutmine. Kehtivasse sõnastusse on lisatud viide DORA
määrusele, milles sätestatut tuleb arvesse võtta info- ja kommunikatsioonitehnoloogia
talitluspidevuse põhimõtete ja plaanide ning info- ja kommunikatsioonitehnoloogia
reageerimis- ja taasteplaanide koostamisel ja kehtestamisel, testimisel ja läbivaatamisel.
Tõhusaid talitluspidevuse ja taasteplaane on vaja selleks, et makseasutus saaks kohe ja kiiresti
lahendada IKT intsidendid, eelkõige tulla toime küberrünnetega, piirates kahju ja seades
prioriteediks tegevuse jätkamise ja taastemeetmed kooskõlas oma varunduspõhimõtetega.
44
Sealjuures ei tohiks selline tegevuse jätkamine kuidagi seada ohtu võrgu- ja infosüsteemide
terviklust ja turvalisust või andmete kättesaadavust, autentsust, terviklust ja konfidentsiaalsust.
Makseasutus testib kõiki funktsioone toetavate IKT-süsteemide IKT talitluspidevuse plaane
ning IKT reageerimis- ja taasteplaane vähemalt kord aastas ja kriitilise tähtsusega või olulisi
funktsioone toetavate IKT-süsteemide oluliste muudatuste korral. Sealjuures lisatakse
testimisplaanidesse stsenaariumid, mis käsitlevad küberründeid ja esmase IKT-taristu ja
varuvõimsuse vahelist ümberlülitust, varundamist ja varurajatisi.
MERAS § 52 muutmine (ei ole seotud DORA direktiiviga). Kui kehtiva õiguse kohaselt on
makseasutuste ja e-raha asutuste ümberkujundamine keelatud, siis eelnõuga lubatakse
riigisisest ümberkujundamist osaühingust aktsiaseltsiks. Makseasutus või e-raha asutus saab
seda siiski teha vaid FI loal (lõige 1), mis on täiendav tingimus võrreldes äriseadustikus
sätestatuga.
Olukorras, kus piiratud makseteenuste osutamisega alustanud ning osaühinguna registreeritud
makseasutus soovib osutada makseteenuseid, mida võib MERAS § 5 lõike 1 kohaselt osutada
aktsiaseltsina asutatud makseasutus, siis tuleks osaühinguna registreeritud asutus likvideerida
ja asutada uus makseasutus või asutada uus makseasutus, millega olemasolev ühendada.
Tulenevalt eeltoodust lubatakse osaühingust asutust ümber kujundada aktsiaseltsiks.
Lõikes 11. Osaühinguna asutatud asutuse ümber kujundamiseks aktsiaseltsiks peab ettevõtja
järgima muu hulgas äriseadustikus sätestatud nõudeid ja kohandama ettevõtte tegevuse
vastavaks.
Lõikes 12 on loetelu teabest, mis tuleb FI-le loa saamiseks esitada. Kuna lubatud on asutust
vaid osaühingust aktsiaseltsiks ümber kujundada, siis tuleb esitada selle osaühingu osanike
koosoleku otsus põhikirja muutmise kohta ja põhikirja muudetud tekst, osanike koosoleku
protokoll ja ümberkujundamisaruanne. Täpsemad nõuded sätestavad eelnimetatud aruandele
ÄS § 479 lõiked 1–2.
Lõige 13 sätestab finantsjärelevalve asutusele ajaraamistiku, mille jooksul peab FI tegema
motiveeritud otsuse ümberkujundamiseks nõusoleku andmise või sellest keeldumise kohta.
Nimetatud lõike kohaselt teeb FI ümberkujundamise otsuse kohta otsuse nõusoleku andmise
või sellest keeldumise kohta üldjuhul ühe kuu jooksul alates nõuetekohaste dokumentide ja
andmete saamisest. Maksimaalselt võib nimetatud otsuse tegemine aega võtta kolm kuud
ümberkujundamistaotluse esitamisest.
Lõige 14 kehtestab finantsjärelevalvele õiguse keelduda ümberkujundamise loa andmisest.
Kuivõrd loa andmisest keeldumisega kaasneb tugev isiku õiguste riive, siis on konkreetsemad
ümberkujundamise keeldumise alused äärmiselt olulised. Lõike kohaselt võib FI keelduda
ümberkujundamise loa andmisest, kui ümberkujundamise luba taotleva makseasutuse või e-
raha asutuse finantsseisund ei vasta MERAS-es sätestatud nõuetele (punkt 1) või
ümberkujundamisega seotud dokumentatsioon ei vasta MERAS-es või muudes õigusaktides,
näiteks äriseadustikus, sätestatud nõuetele (punkt 2). Kui ümberkujundamine võib muul
põhjusel kahjustada klientide huve (punkt 3), on FI-l samuti õigus keelduda ümberkujundamise
loa andmisest. Näiteks võib ümberkujundamine kahjustada klientide huvi, kui
ümberkujundamise protsessi tõttu langeb teenuse kvaliteet või kättesaadavus või toob
klientidele kaasa lisakulusid, mistõttu on oluline, et makseasutuse ja e-raha asutused
rakendaksid ümberkujundamisprotsessi hoolikalt ja klientide huve arvestades. Samuti on
oluline, et finantsjärelevalve õigus keelduda ei oleks piiratud üksnes eelnimetatud
olukordadega, vaid kui esineb muu oluline alus ümberkujundamise mittelubamiseks, siis punkt
45
4 annab selle aluse. Äriühingu ümberkujundamine võib kaasa tuua mitmeid õiguslikke
küsimusi, sealhulgas seoses lepingute ja kohustustega, kahjustades teiste osapoolte õigusi või
tekitades ebakindlustus, mistõttu on oluline, et järelevalveasutuse õigused keelduda
ümberkujundamise loa andmisest ei oleks väga kitsalt piiritletud ning ta saaks hinnata
ümberkujundamise mõju seoses õiguslike küsimuste, turukonkurentsi, finantsstabiilsuse
säilitamise ja tarbijakaitse tagamise vaates laiemalt.
Lõike 15 kohaselt avalikustab FI ümberkujundamisloa andmise otsuse hiljemalt otsuse
tegemisele järgneval tööpäeval oma veebilehel.
Lõige 16 sätestab, et äriregistrile esitatavale avaldusele lisatakse FI luba teenuseosutaja
ümberkujundamiseks, millest tulenevalt on vajalik saada FI luba enne ümberkujundamise
lõpuleviimist äriregistri kandega.
Lõige 17. Kuigi eelnõuga muudetakse makseasutuse ja e-raha asutuste ümberkujundamist
paindlikumaks, siis piiriülene ümberkujundamine ei ole jätkuvalt lubatud (ehk eelnõuga seda
ei muudeta), kuna piiriülese ümberkujundamisega ei ole tagatud piisav klientide huvide kaitse.
Direktiivi (EL) 2019/2121 põhjenduspunkti 57 kohaselt ei tohiks viidatud direktiiv mõjutada
liidu õiguse kohaldamist, mis reguleerib krediidivahendusettevõtjaid ja teisi finantsettevõtjaid,
ega vastavalt kõnealusele liidu õigusele kehtestatud liikmesriigi õigusnormide kohaldamist.
Makseasutuste tegevust reguleeriva direktiivi (EL) 2015/2366 põhjenduspunkti 6 kohaselt on
direktiivi eesmärgiks tagada kõrgetasemeline tarbijakaitse kogu liidu makseteenuste
kasutajatele. Selle tagamise üheks meetmeks on direktiivis ette nähtud makseasutuste
tegevusloa nõue. Arvestades, et finantssektoris teenuse osutamiseks peab isikul olema
tegevusluba, mille ta saab asukoha finantsjärelevalve asutuselt, ei ole viidatud direktiiviga
2015/2366 kooskõlas olukord, kus makseteenuse osutamine viiakse teise lepinguriiki, kus
makseasutusel puudub vastava lepinguriigi finantsjärelevalve asutuse luba selles riigis
makseteenuse osutamiseks. Samas ei ole tal võimalik tegevusluba taotleda, kui ta on samal ajal
(veel) Eesti registrisse kuuluv äriühing. Direktiivi (EL) 2015/2366 artikli 11 lõike 1 kohaselt
antakse tegevusluba üksnes juriidilisele isikule, kes on asutatud selles liikmesriigis (ehk enne
tegevusloa taotlemist peaks ta olema sellesse riiki nö juba ära liikunud).
Kuigi direktiiv (EL) 2019/2121 näeb ette meetmed võlausaldajate kaitseks, ei ole direktiiviga
tagatud piisav kliendikaitset juhuks, kui äriühing selles teises liikmesriigis tegevuse jätkamiseks
tegevusluba ei saa (teise riiki liikumine ei tähenda automaatselt liidu õigusest tuleneva
tegutsemisõiguse üleminekut). ÄS § 4918 reguleerib võlausaldajate kaitset, kuid tagatise
saamise õigus on vaid võlausaldajal, kelle nõuded on tekkinud enne piiriülese
ümberkujundamise projekti avalikustamist, ja nõuete osas, mis ei ole muutunud avalikustamise
kuupäevaks sissenõutavaks.
MERAS § 62 lõike 2 ja § 84 lõike 2 punkti 4 muutmine. Terminoloogiline täpsustus, kus
infotehnoloogia asendatakse terminiga info- ja kommunikatsioonitehnoloogia.
MERAS § 635 uus lõige 3. Makseasutus ja e-raha asutus on kohustatud järgima DORA
määruses sätestatud digitaalse tegevuskerksuse nõudeid. DORA kohaldamisulatusse kuuluvad
kõik makseasutused, sealhulgas sellised makseasutused, mille suhtes kohaldatakse direktiivi
(EL) 2015/2366 artikli 32 lõike 1 kohast erandit (MERAS § 11 lg 1 ja 2) ja kontoteabeteenuse
osutajad (makseasutused, mis osutavad MERAS § 3 lõike 1 punktis 8 osutatud teenust) ning
kõik e-raha asutused, sealhulgas e-raha asutused, mille suhtes kohaldatakse direktiivi
2009/110/EÜ artikli 9 lõike 1 kohast erandit (MERAS § 12 lõikes 1 nimetatud e-raha asutused).
46
DORA määruse artikli 16 kohaselt kohaldatakse erandi alla kuuluvatele makseasutustele ja e-
raha asutustele lihtsustatud IKT riskijuhtimise raamitiku nõudeid.
MERAS § 636 pealkirja muutmine. Kuna paragrahvi lisandub ka küberohtudest teavitamine,
viiakse paragrahvi pealkiri kooskõlla selle sisuga.
MERAS § 636 täiendamine uute lõigetega 5–8.
Lõige 5. Kuna makseasutustele ja e-raha asutustele hakkab kohalduma DORA määruses
sätestatud intsidentidest teatamise kord, on §-i 636 lisatud täpsustus, et DORA määruse
kohaldamisalasse kuuluvad makseasutused ja e-raha asutused, sealhulgas erandi alla kuuluvad
ja kontoteabe osutajad, lähtuvad operatsiooni- või turvaintsidendist teavitamisel (nii FI kui ka
klientide teavitamisel) DORA määruses sätestatust (DORA määrus kasutab terminit „tegevust
või turvalisust mõjutav maksetega seotud intsident“). Lõigetes 1 ja 2 sätestatu jääb kohalduma
ülejäänutele makseteenuse pakkujatele. Nimelt näeb DORA määruse artikkel 23 ette, et DORA
määruse peatükis 3 sätestatud nõudeid kohaldatakse ka tegevust või turvalisust mõjutavate
maksetega seotud intsidentide ning tegevust või turvalisust mõjutavate maksetega seotud tõsiste
intsidentide suhtes, kui need puudutavad krediidiasutusi, makseasutusi, kontoteabe teenuse
pakkujaid ning e-raha asutusi.
Intsident IKT-intsident Tegevust või turvalisust
mõjutav maksetega seotud
intsident
Finantssektori ettevõtja
poolt planeerimata
üksiksündmus või
omavahel seotud
sündmuste jada, mis:
- seab ohtu võrgu- ja
infosüsteemide turvalisuse;
- avaldab negatiivset mõju
andmete kättesaadavusele,
autentsusele, terviklusele
või konfidentsiaalsusele või
finantssektori ettevõtja
osutatavatele teenustele.
- avaldab negatiivset mõju
maksete andmete
kättesaadavusele,
autentsusele, terviklusele
või konfidentsiaalsusele
või finantssektori ettevõtja
osutatud maksetega
seotud teenustele,
olenemata sellest, kas
need sündmused on IKTga
seotud.
Tõsine IKT intsident Tõsine tegevust või
turvalisust mõjutav
maksetega seotud intsident
- millel on suur negatiivne
mõju võrgu- ja
infosüsteemidele, mis
toetavad finantssektori
ettevõtja kriitilise
tähtsusega või olulisi
funktsioone.
- avaldab suurt negatiivset
mõju osutatud maksetega
seotud teenustele.
Makseasutused ja e-raha asutused peavad DORA-s sätestatud eeskirjade alusel teavitama FI-d
nii tõsistest IKT-ga seotud intsidentidest kui ka osutatava makseteenusega seotud olulistest
operatsiooni- või turvaintsidentidest.
Lõike 6 kohaselt tuleb IKT-ga seotud tõsistest intsidentidest teavitada lisaks FI-le ka RIA-t.
Operatsiooni- või turvaintsidentidest teavitatakse üksnes FI-d. Sealjuures tuleb kirjeldatud
47
intsidentide puhul kasutada DORA määruse alusel kehtestatud teavitusvorme ja lähtuda
teavitamisel DORA alusel kehtestatud tähtaegadest.
Lisaks sätestab DORA määruse artikli 19 lõige 2, et finantsasutused võivad vabatahtlikult
teatada asjaomasele pädevale asutusele olulistest küberohtudest, kui nad peavad ohtu
finantssüsteemi, teenusekasutajate või klientide jaoks oluliseks, sealjuures võivad liikmesriigid
otsustada, et need finantsasutused, kes teatavad vabatahtlikult esimese lõigu kohaselt, võivad
kõnealuse teate edastada ka direktiivi (EL) 2022/2555 kohaselt määratud või loodud küberturbe
intsidentide lahendamise üksustele (lõige 8).
Kuivõrd FIS § 462 lõikes 8 on sätestatud, et Inspektsioon teavitab pärast MERAS § 636 lõikes
1 nimetatud teate saamist viivitamata Euroopa Pangandusjärelevalve Asutust ja Euroopa
Keskpanka olulisest operatsiooni- või turvaintsidendist, siis see kohaldub selliste teadete
suhtes, mis jäävad MERAS § 636 lõike 1 kohase teavitamise alla. DORA määruse kohaselt
saadud teated edastab FI EBA-le ja Euroopa Keskpangale DORA määruse artikli 19 lõike 6
kohaselt.
MERAS § 91 muutmine. Paragrahvi pealkiri viiakse kooskõlla selle sisuga, kuivõrd eelnõuga
lisatakse paragrahvi uus lõige, milles sätestatakse, et FI-l on DORA määruse kohase täitmise
üle järelevalve teostamisel kõik nimetatud määruses, MERAS-es ja FIS-is sätestatud õigused.
Nimelt on DORA määruse artikli 50 lõike 1 kohaselt pädevatel asutustel kõik DORA määruse
kohaste ülesannete täitmiseks vajalikud järelevalve-, uurimis- ja karistuste määramise volitused
ning lõikes 2 on miinimumnimekiri volitustest. Näiteks on FI-l õigus tutvuda kõigi
dokumentidega või mis tahes vormis muude andmetega, mis võiksid olla FI ülesannete
täitmiseks olulised, ja saada või teha nende dokumentide koopiaid, teha kohapealseid kontrolle
või uurimisi ning nõuda määruse nõuete rikkumise korral parandus- ja ennetusmeetmete
võtmist. Kuna tegemist on miinimumnimekirjaga, siis on FI-l õigus rakendada ka muid
MERAS-es ja FISis sätestatud õigusi.
Finantsinspektsioonile antakse mh õigus rakendada DORA määruse artikli 50 lõikes 4
sätestatud halduskaristusi ja parandusmeetmeid. Sellisteks meetmeteks on:
- ettekirjutuse tegemine, et füüsiline või juriidiline isik lõpetaks rikkuva tegevuse ja hoiduks
selle tegevuse kordamisest;
- sellise tegevuse või tava peatamise nõudmine, mis on vastuolus määruse sätetega;
- mis tahes liiki meetmete võtmine, sealhulgas rahaliste meetmete, tagamaks, et
finantsasutused jätkavad õigusnormide järgimist;
- liikmesriigi õigusega lubatud ulatuses sideoperaatorite valduses olete andmeliiklusandmete
nõudmine, kui on piisav alus kahtlustada määruse nõuete rikkumist ja kui sellised andmed
võivad olla olulised määruse rikkumiste uurimisel (kuna liikmesriigi õigusega pole vastavat
õigust ette nähtud, siis käesolev meedet ei saa rakendada), ning
- avalike teadaannete väljastamine, mis sisaldavad füüsilise või juriidilise isiku identiteeti ja
rikkumise laadi.
Kuna tegemist on jällegi miinimumnimekirjaga, on Finantsinspektsioonil õigus rakendada ka
muid MERAS-est ja FIS-ist tulenevaid meetmeid.
Et võetud meetmetel oleks hoiatav mõju laiemale avalikkusele, näeb määrus ette rikkumist
puudutavate otsuste avalikustamise. DORA määruse artikli 54 lõike 1 kohaselt avaldavad
pädevad asutused oma ametlikel veebisaitidel põhjendamatu viivituseta kõik halduskaristuse
määramise otsused, mida ei ole edasi kaevatud pärast seda, kui karistuse saanud isikut on
otsusest teavitatud. Lõige 5 näeb samas ette, et kui pädev asutus avaldab halduskaristuse
48
määramise otsuse, mis on asjaomastele kohtuasutustele edasi kaevatud, lisavad pädevad
asutused ühtlasi viivitamata oma ametlikule veebisaidile selle teabe ja hiljem kogu täiendava
teabe sellise edasikaebamise tulemuste kohta. Samuti avaldatakse kohtuotsus, millega
tühistatakse halduskaristuse määramise otsus.
Avaldada tuleb teave rikkumise liigi ja laadi kohta, vastutavad isikud ning määratud karistused.
Erandiks on olukorrad, kus juriidilise isiku nime või füüsilise isiku nime ja isikuandmete
avaldamine oleksid ebaproportsionaalsed või nende andmete avaldamine ohustaks
finantsturgude stabiilsust või pooleli olevat uurimist (eelkõige mõeldud järelevalve- ja
väärteomenetlust, kuid võib hõlmata ka kriminaalmenetlust tegevusloata tegutsemise puhul)
või põhjustaks asjaomasele isikule ebaproportsionaalselt suurt kahju. Sellisel puhul võib
avaldamise edasi lükata, jätta isikuid puudutav teave avaldamata või loobuda sellise kaasuse
kohta teabe avaldamisest üldse.
Kuigi DORA määruse artikkel 54 viitab vaid halduskaristuste avalikustamisele, on FI-l õigus
FIS § 54 lõike 5 kohaselt avalikustada lisaks väärteo asjas tehtud lahendile haldusakt või -
leping, kui see on vajalik investorite, finantsjärelevalve subjektide klientide või avalikkuse
kaitseks või finantsturu õigus- või korrapärase toimimise tagamiseks.
MERAS § 92 muudatused. Seoses MERAS § 24 uue lõikega 41 tuleb muuta § 92 lõikeid 11 ja
12 nii, et FI-l on viidatud lõigetes sätestatud õigused ja kohustused seoses välisriigis asutatud
filiaaliga (kehtiva sõnastus piirdub lepinguriigi filiaaliga).
MERAS uus § 1091. Seadust täiendatakse uue karistusnormiga, mida FI saab kohaldada DORA
määruses sätestatud nõuete rikkumise korral. Nimelt on DORA määruse artikli 50 lõikes 3
sätestatud, et liikmesriigid kehtestavad õigusnormid, milles sätestatakse asjakohased
halduskaristused ja parandusmeetmed määruse rikkumise puhuks, ning tagavad nende
tulemusliku rakendamise. Sama artikli lõike 4 punktis c on sätestatud, et liikmesriigid annavad
pädevatele asutustele õiguse võtta mis tahes liiki meetmeid, sealhulgas rahalisi meetmeid,
tagamaks, et finantssektori ettevõtjad jätkavad õigusnormide järgimist. Eelnõuga nähakse ette,
et füüsilise isiku korral on võimalik karistada rahatrahviga kuni 5 000 000 eurot või kuni
kahekordse väärteo tulemusel teenitud kasule või ära hoitud kahjule vastavas summas ning
juriidilise isiku korral karistatakse rahatrahviga kuni 5 000 000 eurot või kuni kahekordse
väärteo tulemusel teenitud kasule või ära hoitud kahjule vastavas summas või kuni kümme
protsenti juriidilise isiku või tema konsolideerimisgrupi konsolideeritud käibest.
Uue paragrahvi sätestamisel on lähtutud MERAS-es sätestatud kehtivatest karistusmääradest ja
karistuste määramise alustest. Finantssektori karistusnormid on suures osas reguleeritud liidu
õiguses, kus reeglina on ette nähtud analoogsed meetmed karistuste rakendamiseks (sh
fikseeritud rahaliste suuruste piirmäärad). Makseteenuste ja e-raha teenuste valdkonna EL õigus
ei näe ette koosseise konkreetsete karistuste kohta ega rahalisi trahve. Direktiivi 2015/2366
artikli 103 kohaselt tuleb liikmesriigil tagada rikkumiste korral tõhusate, proportsionaalsete ja
hoiatavate karistuste rakendamine. Kuna direktiivist 2009/110/EÜ ei tulene otseselt kohustust
kohaldada kõrgemaid rahatrahvi määrasid, siis kehtivas MERAS-es kõrgendatud ülemmääraga
maksimaalse rahatrahvi kohaldamisel on lähtutud põhimõttest, et direktiivist tulenevate
tegevusnõuete rikkumiste puhul kohaldatakse pangandusdirektiivis (2013/36/EL) ette nähtud
rahatrahvi määrasid. Seega on ka uue lõike 1091 sõnastamisel võetud lähenemine, et see oleks
kooskõlas MERAS §-dega 109 ja 110.
Uue paragrahvi lõike 1 sõnastuses on viidatud järgmistele DORA määruse nõuete rikkumistele:
- art 5–14: IKT- riski juhtimine;
49
- art 16–18, art 19 lõiked 1, 3–5: IKT intsidentide haldamine ja liigitamine ning nendest
teavitamine;
- art 24, 25, art 27 lõiked 1–8: digitaalse tegevuskerksuse testimine;
- art 28 lõiked 1–8, art 29, art 30 lõiked 1–4: kolmandast isikust tuleneva IKT-riski juhtimine;
- art 42 lg 3: kolmanda isikuga seotud riskide arvesse võtmine.
Seaduse normitehniline märkus. Muudatusega lisatakse viide DORA direktiivile.
3.9. Eelnõu § 9. Väärtpaberite registri pidamise seaduse muutmine
EVKS § 71 lõike 5 muutmine ja lõike 7 kustutamine. 2022. aasta 16. augustil jõustusid KüTS
muudatused, millega ühtlasi tunnistati kehtetuks avaliku teabe seaduse (AvTS) § 439 lõike 1
punktis 4 sätestatud Vabariigi Valitsuse volitusnorm infosüsteemide turvameetmete süsteemi
kehtestamiseks, millele EVKS § 71 kehtivas lõikes 7 on viidatud. Volitusnormi kustutamist on
selgitatud järgmiselt: „Kuna eelnõuga luuakse KüTS-is võimalus kehtestada E-ITS47, siis tuleb
ISKE48 määruse volitusnorm tunnistada kehtetuks. /…/ E-ITS-i määruse volitusnormi
paiknemine KüTS-is ja selle rakendusaktides on avaliku teabe töötlemist ja küberturvalisust
reguleerivaid õigusakte, nende omavahelisi seoseid ning struktuuri arvesse võttes mõistlik“.
Seega tunnistatakse lõige 7 kehtetuks, kuna viitab kehtetule AvTS volitusnormile.
Registripidajale hakkavad kohalduma DORA määruse nõuded.
Kuna lõikes 5 on viide lõikele 7, mis tunnistatakse kehtetuks, tuleb muuta ka lõike 5 sõnastust
ja sealt välja jätta viide lõikele 7.
EVKS täiendamine uue §-ga 302 nähakse ette uus paragrahv registripidaja digitaalse
tegevuskerksuse nõuete rakendamiseks.
Lõige 1. DORA määruse artikli 2 lõike 1 punkti g kohaselt kuuluvad väärtpaberite
keskdepositooriumid samuti DORA kohaldamisalasse. Kuigi tegemist on otsekohalduva
määrusega, on selguse huvides lõikes 1 viide DORA määruse nõuete rakendamisele.
Lõige 2. KüTS § 3 lõike 4 punkti 1 kohaselt kohaldatakse KüTS-is teenuse osutaja kohta
sätestatut ka andmekogu vastutavale töötlejale ja volitatud töötlejale. Muudatust on eelnevalt
selgitatud järgmiselt: „Andmekogude vastutavate ja volitatud töötleja hõlmamine avaliku
sektori loetelu alla on vajalik ka põhjusel, et eelnõu asendab AvTS-i alusel kehtestatud ISKE
KüTS-i alusel kehtestava E-ITS-iga ning selleks, et tagada andmekogude küberturvalisus, tuleb
seega ka täpsustada KüTS-i kohaldamisala.“ Andmekogu on andmekogu AvTS § 431 lõike 1
tähenduses (andmekogu on riigi, kohaliku omavalitsuse või muu avalik-õigusliku isiku või
avalikke ülesandeid täitva eraõigusliku isiku infosüsteemis töödeldavate korrastatud andmete
kogum, mis asutatakse ja mida kasutatakse seaduses, selle alusel antud õigusaktis või
rahvusvahelises lepingus sätestatud ülesannete täitmiseks).
EVKS § 12 lõike 2 kohaselt on Eesti väärtpaberite register riigi infosüsteemi kuuluv andmekogu
aktsiate, võlakohustuste ja teiste EVKS § 2 lõigetes 1 ja 2 nimetatud väärtpaberite ning nende
väärtpaberitega tehtavate toimingute registreerimiseks. Registripidaja on keskdepositoorium,
kellele on antud õigus registrit pidada.
47 Eesti infoturbestandard, https://www.riigiteataja.ee/aktilisa/1211/2202/2034/MKM_m101_lisa.pdf# 48 infosüsteemide kolmeastmelise etalonturbe süsteem
50
Kuna registripidaja peab lõike 1 kohaselt juba rakendama DORA määruses sätestatud IKT-
riskide juhtimise ja intsidentidest teavitamise nõudeid ja vältimaks nõuete dubleerimist,
nähakse lõikega 2 ette, et registripidajale ei kohaldata KüTS-i neid sätteid, mis on juba kaetud
DORA määrusega. NIS 2 direktiivi põhjenduspunkti 28 kohaselt tuleks NIS2 direktiivi sätete
asemel kohaldada DORA määruse sätteid, mis käsitlevad IKT riskijuhtimist, IKT intsidentide
haldamist ja eelkõige tõsistest IKT intsidentidest teavitamist, samuti digitaalse tegevuskerksuse
testimist, teabevahetuse kokkuleppeid ja kolmandatest isikutest tulenevat IKT-riski. Seetõttu ei
tohiks liikmesriigid NIS2 direktiivi sätteid, mis käsitlevad küberturvalisuse riskijuhtimist ja
teatamiskohustust, järelevalvet ja täitmise tagamist, DORA määruse kohaldamisalasse jäävate
finantssektori ettevõtjate suhtes kohaldada.
Lõiked 3 ja 4. DORA määruse artikli 19 lõike 1 kohaselt peab finantsasutus teavitama pädevat
asutust tõsistest IKT-ga seotud intsidentidest. Lisaks annab määrus liikmesriigile võimaluse
ette näha, et mõned või kõik finantssektori ettevõtjad esitavad pädevale asutusele või
küberturbe intsidentide lahendamise üksustele, mis on määratud või loodud direktiivi (EL)
2022/2555 kohaselt, ka esialgse teate ja kõik raportid, kasutades DORA määruse artiklis 20
osutatud vorme. Lõikega 3 nähakse ette, et registripidaja teavitab lisaks FI-le ka RIA-t.
Teavitused ja raportid intsidentide kohta tuleb esitada DORA määruse alamaktides kehtestatud
vorme kasutades, lähtudes Finantsinspektsiooni kehtestatud andmevahetusvormingust ja teabe
edastusviisist (vt tehniliste standardite eelnõu konsultatsioonidokumenti intsidentidest
teavitamise kohta).49 Nagu käesoleva seletuskirja punkti 2.3.2 alampunktis A kirjeldatud,
kasutab finantsasutus nii FI kui ka RIA teavitamisel ühekordset teabeedastamise viisi ehk selle
kehtestamisel tuleks Finantsinspektsioonil ka selle asjaoluga arvestada.
Intsidentide liigitamise kriteeriumid on ette nähtud DORA määruse artikli 18 lõikes 1, kuid
täpsemad kriteeriumid tõsiste intsidentide määratlemiseks töötavad välja ESA-d koostöös EKP
ja ENISA-ga.
Lõige 5. Lisaks sätestab DORA määruse artikli 19 lõige 2, et finantsasutused võivad
vabatahtlikult teatada asjaomasele pädevale asutusele olulistest küberohtudest, kui nad peavad
ohtu finantssüsteemi, teenusekasutajate või klientide jaoks oluliseks, sealjuures võivad
liikmesriigid otsustada, et need finantsasutused, kes teatavad vabatahtlikult esimese lõigu
kohaselt, võivad kõnealuse teate edastada ka direktiivi (EL) 2022/2555 kohaselt määratud või
loodud küberturbe intsidentide lahendamise üksustele.
Lõike 6 eesmärk on juhtida tähelepanu spetsiifilisele sättele, mille kohaselt peab DORA
määrusest tulenevalt olema keskdepositooriumil vähemalt üks varutöötluskoht, millel on
ärivajaduste rahuldamiseks piisavad ressursid, võimed, funktsioonid ja personalikorraldus.
DORA määruse artikli 12 lõike 5 kohaselt peab varutöötluskoht asuma peamisest töötluskohast
geograafiliselt eemal, et tagada nende erinev riskiprofiil ja vältida, et varutöötluskohta
kahjustab peamisele töötluskohale mõju avaldanud sündmus. Lisaks peab see varutöötluskoht
suutma tagada peamise töötluskohaga kriitilise tähtsusega või oluliste funktsioonide
järjepidevuse või sellise teenuse taseme, mida on vaja, et saaks täita oma kriitilise tähtsusega
funktsioone vastavalt taaste-eesmärkidele. See koht peaks olema registripidaja töötajatele kohe
ligipääsetav.
49https://www.eiopa.europa.eu/system/files/2023-12/JC%202023%2070%20-
%20%20CP%20on%20draft%20RTS%20and%20ITS%20on%20major%20incident%20reporting%20under%20DORA.pdf
51
Lõige 7. DORA määruse artikli 2 lõike 1 punkti g kohaselt kuuluvad DORA määruse
kohaldamisalasse väärtpaberite keskdepositooriumid, kes on defineeritud määruse artikli 3
punktis 42. Tegemist on määruse (EL) nr 909/2014 (CSDR) artikli 2 lõike 1 punktis 1
määratletud väärtpaberite keskdepositooriumidega. Eesti väärtpaberite keskregistri seaduse
muutmise ja sellega seonduvalt teiste seaduste muutmise seaduse50 seletuskirjas on selgitatud,
et pensioniosakud ei kuulu CSDR-määruse reguleerimisalasse. Seega ei kuulu pensioniregistri
pidaja ka DORA määruse kohaldamisalasse. Seetõttu on ka lõikes 7 täpsustatud, et
pensioniregistri pidajale ei kohaldata uues paragrahvis sätestatut, sj DORA määruse
rakendamise kohustust. Samuti ei välistata neid KüTS 2. peatüki nõuete rakendamisest.
EVKS § 38 uue lõike 13 kohaselt teostab FI järelevalvet mh DORA määruses sätestatud nõuete
täitmise üle.
EVKS § 39 uus lõige 11. Eelnõuga lisatakse paragrahvi uus lõige, milles sätestatakse, et FI-l
on DORA määruse kohase täitmise üle järelevalve teostamisel kõik nimetatud määruses,
EVKS-is ja FIS-is sätestatud õigused.
Nimelt on DORA määruse artikli 50 lõike 1 kohaselt pädevatel asutustel kõik DORA määruse
kohaste ülesannete täitmiseks vajalikud järelevalve-, uurimis- ja karistuste määramise volitused
ning lõikes 2 on miinimumnimekiri volitustest. Näiteks on FI-l õigus tutvuda kõigi
dokumentidega või mis tahes vormis muude andmetega, mis võiksid olla FI ülesannete
täitmiseks olulised, ja saada või teha nende dokumentide koopiaid, teha kohapealseid kontrolle
või uurimisi ning nõuda määruse nõuete rikkumise korral parandus- ja ennetusmeetmete
võtmist. Kuna tegemist on miinimumnimekirjaga, siis on FI-l õigus rakendada ka muid
MERAS-es ja FISis sätestatud õigusi.
Finantsinspektsioonile antakse mh õigus rakendada DORA määruse artikli 50 lõikes 4
sätestatud halduskaristusi ja parandusmeetmeid. Sellisteks meetmeteks on:
- ettekirjutuse tegemine, et füüsiline või juriidiline isik lõpetaks rikkuva tegevuse ja hoiduks
selle tegevuse kordamisest;
- sellise tegevuse või tava peatamise nõudmine, mis on vastuolus määruse sätetega;
- mis tahes liiki meetmete võtmine, sealhulgas rahaliste meetmete, tagamaks, et
finantsasutused jätkavad õigusnormide järgimist;
- liikmesriigi õigusega lubatud ulatuses sideoperaatorite valduses olete andmeliiklusandmete
nõudmine, kui on piisav alus kahtlustada määruse nõuete rikkumist ja kui sellised andmed
võivad olla olulised määruse rikkumiste uurimisel (kuna liikmesriigi õigusega pole vastavat
õigust ette nähtud, siis käesolev meedet ei saa rakendada), ning
- avalike teadaannete väljastamine, mis sisaldavad füüsilise või juriidilise isiku identiteeti ja
rikkumise laadi.
Kuna tegemist on jällegi miinimumnimekirjaga, on Finantsinspektsioonil õigus rakendada ka
muid EVKS-ist ja FIS-ist tulenevaid meetmeid.
EVKS § 39 uus lõige 41. FI peab avalikustama DORA määruse rikkumisega seoses võetud
meetmete alusel tehtud otsuse kohta teate oma veebilehel nagu on sätestatud artiklis 54.
Et võetud meetmetel oleks hoiatav mõju laiemale avalikkusele, näeb määrus ette rikkumist
puudutavate otsuste avalikustamise. DORA määruse artikli 54 lõike 1 kohaselt avaldavad
pädevad asutused oma ametlikel veebisaitidel põhjendamatu viivituseta kõik halduskaristuse
50 https://www.riigikogu.ee/tegevus/eelnoud/eelnou/cec5e4d6-98a5-4016-965a-c151c9e94354/eesti-vaartpaberite-
keskregistri-seaduse-muutmise-ja-sellega-seonduvalt-teiste-seaduste-muutmise-seadus
52
määramise otsused, mida ei ole edasi kaevatud pärast seda, kui karistuse saanud isikut on
otsusest teavitatud. Lõige 5 näeb samas ette, et kui pädev asutus avaldab halduskaristuse
määramise otsuse, mis on asjaomastele kohtuasutustele edasi kaevatud, lisavad pädevad
asutused ühtlasi viivitamata oma ametlikule veebisaidile selle teabe ja hiljem kogu täiendava
teabe sellise edasikaebamise tulemuste kohta. Samuti avaldatakse kohtuotsus, millega
tühistatakse halduskaristuse määramise otsus.
Avaldada tuleb teave rikkumise liigi ja laadi kohta, vastutavad isikud ning määratud karistused.
Erandiks on olukorrad, kus juriidilise isiku nime või füüsilise isiku nime ja isikuandmete
avaldamine oleksid ebaproportsionaalsed või nende andmete avaldamine ohustaks
finantsturgude stabiilsust või pooleli olevat uurimist (eelkõige mõeldud järelevalve- ja
väärteomenetlust, kuid võib hõlmata ka kriminaalmenetlust tegevusloata tegutsemise puhul)
või põhjustaks asjaomasele isikule ebaproportsionaalselt suurt kahju. Sellisel puhul võib
avaldamise edasi lükata, jätta isikuid puudutav teave avaldamata või loobuda sellise kaasuse
kohta teabe avaldamisest üldse.
Kuigi DORA määruse artikkel 54 viitab vaid halduskaristuste avalikustamisele, on määruse
(EL) nr 909/2014 (CSDR) artiklis 62 sätestatud, et viidatud määruse rikkumise eest
avalikustatakse otsus nii halduskaristuse kui ka muu haldusmeetme kohta. Kuna DORA nõuded
integreeritakse viidatud määrusesse (vt DORA määruse artiklit 61), on pädeval asutusel alus
avalikustada lisaks halduskaristustele ka muud meetmed (nt ettekirjutus), kui rikutakse DORA
nõudeid.
3.10. Eelnõu § 10. Väärtpaberituru seaduse muutmine
VpTS § 1 lõike 2 muutmine. DORA määruse kohaldamisalasse kuuluvad mh
ühisrahastusteenuse osutajad, kes on määratletud Euroopa Parlamendi ja nõukogu määruse
(EL) 2020/1503 (35) artikli 2 lõike 1 punktis e. Lõike 2 sõnastust täiendatakse viitega VpTS
uuele §-le 23790 ehk karistusi DORA määruse nõuete rikkumise eest kohaldatakse ka viidatud
ühisrahastusteenuse osutajatele.
VpTS § 101 muutmine (ei ole seotud DORA ülevõtmisega, seaduses parandatakse EL määruse
nimetus õigeks). Euroopa Parlamendi ja Nõukogu määrusega (EL) 2019/2033, 27. november
2019, mis käsitleb investeerimisühingute suhtes kohaldatavaid usaldatavusnõudeid ning
millega muudetakse määrusi (EL) nr 1093/2010, (EL) nr 575/2013, (EL) nr 600/2014 ja (EL)
nr 806/2014, muudeti Euroopa Parlamendi ja nõukogu määruse (EL) nr 575/2013 pealkirja,
mistõttu viiakse VpTS-is olev viide määrusele kooskõlla selle õige nimetusega.
VpTS § 66 lõike 2 punkti 5 ja § 701 lõike 3 punkti 5 muutmine ning uued punktid (ei ole
seotud DORA direktiiviga, kuid on tehniline muudatus, et vältida seaduses olevat tühja viidet).
Kuna ÄS § 386 lõike 2 punkt 4 on tunnistatud kehtetuks, korrigeeritakse VpTS sõnastust ja
kustutatakse viide kehtetule ÄS punktile 4. ÄS-ist välja jäetud punkt sõnastatakse VpTS-is.
Seega peab kolmanda riigi investeerimisühing Eestis filiaali asutamise loa või piiriülese teenuse
osutamise loa taotlemisel esitama FI-le äriühingu põhikirja või ühingulepingu asukohamaa
seaduste kohaselt tõestatud ärakirja, kui põhikirja või ühingulepingu registrile esitamine on
nõutav ka ühingu asukohamaal.
VpTS § 811 täiendamine uue lõikega 41. Paragrahv reguleerib investeerimisühingu üldisi
organisatsiooninõudeid. Muudatusega nähakse ette investeerimisühingu kohustus rakendada
mh DORA määrust.
53
VpTS § 826 lõike 4 muutmine. Paragrahv reguleerib olulise tööülesande või tegevuse
edasiandmist, sealjuures on olulised tööülesanded ja tegevused määratletud komisjoni
delegeeritud määruse (EL) nr 2017/565 artiklis 30. Muudetava lõike 4 kehtiva sõnastuse
kohaselt peab olulise tööülesande või tegevuse edasiandmisel olema täidetud viidatud
delegeeritud määruses ja VpTS-is sätestatud nõuded. Lõike sõnastusse lisatakse viide DORA
määrusele ehk info- ja kommunikatsioonitehnoloogia teenuse edasiandmisel tuleb mh täita
DORA määruses ette nähtud edasiandmise nõudeid (lisaks määruses (EL) nr 2017/565
sätestatule).
VpTS § 8215 lõike 1 teise lausesse lisatakse viide DORA määrusele. Lõike 1 esimene lause
ütleb, et algoritmkauplemisega tegelemisel, sealhulgas algoritmipõhise välkkauplemistehnika
kasutamisel, rakendab investeerimisühing oma äritegevuse jaoks sobivaid ja tõhusaid süsteeme
ning riskikontrolli, tagamaks, et algoritmkauplemiseks kasutatav infotehnoloogiline süsteem on
töökindel ja piisava võimsusega, selles rakendatakse asjakohaseid kauplemiskünniseid ja -
piirmäärasid ning see ennetab ekslike korralduste andmist ja muid toiminguid, mis võivad
ohustada väärtpaberituru korra- või õiguspärast toimimist. Sama lõike teises lauses on
sätestatud, et investeerimisühing järgib selliste meetmete rakendamisel muu hulgas komisjoni
delegeeritud määruses (EL) nr 2017/589 sätestatut. Muudatusega lisatakse viide lisaks DORA
määrusele.
VpTS § 8215 lõike 5 sõnastuses on täpsustatud, et talitluspidevuse kord sisaldab muu hulgas
info- ja kommunikatsioonitehnoloogia talitluspidevuse põhimõtteid ja plaane, aga ka info- ja
kommunikatsioonitehnoloogia reageerimis- ja taasteplaane. Lõike teise lausesse on lisatud
viide DORA määruse peatükkidele 2 ja 4, mis reguleerivad info- ja
kommunikatsioonitehnoloogia riskide juhtimist, sealhulgas nõudeid info- ja
kommunikatsioonitehnoloogiale, protokollidele ja vahenditele, ning digitaalse tegevuskerksuse
testimist.
Tõhusaid talitluspidevuse ja taasteplaane on vaja selleks, et investeerimisühing saaks kohe ja
kiiresti lahendada IKT intsidendid, eelkõige tulla toime küberrünnetega, piirates kahju ja seades
prioriteediks tegevuse jätkamise ja taastemeetmed kooskõlas oma varunduspõhimõtetega.
Sealjuures ei tohiks selline tegevuse jätkamine kuidagi seada ohtu võrgu- ja infosüsteemide
terviklust ja turvalisust või andmete kättesaadavust, autentsust, terviklust ja konfidentsiaalsust.
Investeerimisühing testib kõiki funktsioone toetavate IKT-süsteemide IKT talitluspidevuse
plaane ning IKT reageerimis- ja taasteplaane vähemalt kord aastas ja kriitilise tähtsusega või
olulisi funktsioone toetavate IKT-süsteemide oluliste muudatuste korral. Sealjuures lisatakse
testimisplaanidesse stsenaariumid, mis käsitlevad küberründeid ja esmase IKT-taristu ja
varuvõimsuse vahelist ümberlülitust, varundamist ja varurajatisi.
VpTS uus § 8218. DORA määruse artikli 19 lõike 1 kohaselt peab finantsasutus teavitama
pädevat asutust tõsistest IKT-ga seotud intsidentidest. Lisaks annab määrus liikmesriigile
võimaluse ette näha, et mõned või kõik finantssektori ettevõtjad esitavad pädevale asutusele
või küberturbe intsidentide lahendamise üksustele, mis on määratud või loodud direktiivi (EL)
2022/2555 kohaselt, ka esialgse teate ja kõik raportid, kasutades DORA määruse artiklis 20
osutatud vorme. Lõikega 1 nähakse ette, et investeerimisühing teavitab lisaks FI-le ka RIA-t.
Teavitused ja raportid intsidentide kohta tuleb esitada DORA määruse alamaktides kehtestatud
vorme kasutades, lähtudes Finantsinspektsiooni kehtestatud andmevahetusvormingust ja teabe
edastusviisist (vt tehniliste standardite eelnõu konsultatsioonidokumenti intsidentidest
54
teavitamise kohta).51 Nagu käesoleva seletuskirja punkti 2.3.2 alampunktis A kirjeldatud,
kasutab finantsasutus nii FI kui ka RIA teavitamisel ühekordset teabeedastamise viisi ehk selle
kehtestamisel tuleks Finantsinspektsioonil ka selle asjaoluga arvestada.
Intsidentide liigitamise kriteeriumid on ette nähtud DORA määruse artikli 18 lõikes 1, kuid
täpsemad kriteeriumid tõsiste intsidentide määratlemiseks töötavad välja ESA-d koostöös EKP
ja ENISA-ga.
Lisaks sätestab DORA määruse artikli 19 lõige 2, et finantsasutused võivad vabatahtlikult
teatada asjaomasele pädevale asutusele olulistest küberohtudest, kui nad peavad ohtu
finantssüsteemi, teenusekasutajate või klientide jaoks oluliseks, sealjuures võivad liikmesriigid
otsustada, et need finantsasutused, kes teatavad vabatahtlikult esimese lõigu kohaselt, võivad
kõnealuse teate edastada ka direktiivi (EL) 2022/2555 kohaselt määratud või loodud küberturbe
intsidentide lahendamise üksustele (lõige 3).
VpTS § 114 muutmine. Muudatuse kohaselt ei ole investeerimisühingu piiriülene
ümberkujundamine lubatud. Muudatuse eesmärk on tagada Eesti investorite parem kaitse.
Arvestades finantssektori erisusi, ei ole praktikas finantsasutuse ümberkujundamine võrreldav
nn tavalise äriühingu ümberkujundamise protsessiga. Direktiivi (EL) 2019/2121
põhjenduspunkti 57 kohaselt ei tohiks viidatud direktiiv mõjutada liidu õiguse kohaldamist, mis
reguleerib krediidivahendusettevõtjaid ja teisi finantsettevõtjaid, ega vastavalt kõnealusele liidu
õigusele kehtestatud liikmesriigi õigusnormide kohaldamist. Investeerimisühingute tegevust
reguleeriva direktiivi 2014/65/EL põhjenduspunktis 3 on osutatud, et finantsturgudel on
tegutsema asunud rohkem investoreid ja neile pakutakse veelgi keerukamat ulatuslikku teenuste
ja instrumentide valikut, mistõttu peaks liidu õigusraamistik hõlmama kogu investoritele
suunatud tegevust. Selleks on vaja näha ette ühtlustamise tase, mida on vaja investoritele
kõrgetasemelise kaitse pakkumiseks ja selleks, et võimaldada investeerimisühingutel osutada
päritoluriigi järelevalve all teenuseid kogu liidus, mis on siseturg. Selle tagamise üheks
meetmeks on direktiivis ette nähtud investeerimisühingu tegevusloa nõue.
Arvestades, et finantssektoris teenuse osutamiseks peab isikul olema tegevusluba, mille ta saab
asukoha finantsjärelevalve asutuselt, ei ole viidatud direktiiviga 2014/65/EL kooskõlas olukord,
kus investeerimisühingu tegevus viiakse teise lepinguriiki, kus investeerimisühingul puudub
vastava lepinguriigi finantsjärelevalve asutuse luba selles riigis teenuse osutamiseks. Samas ei
ole tal võimalik tegevusluba taotleda, kui ta on samal ajal (veel) Eesti registrisse kuuluv
äriühing. Kuigi direktiiv (EL) 2019/2121 näeb ette meetmed võlausaldajate kaitseks, ei ole
direktiiviga tagatud piisav investorkaitset juhuks, kui äriühing selles teises liikmesriigis
tegevuse jätkamiseks tegevusluba ei saa (teise riiki liikumine ei tähenda automaatselt liidu
õigusest tuleneva tegutsemisõiguse üleminekut). Samuti ei ole reguleeritud, mis saab
kliendiportfellidest perioodil, kui ühing alles taotleb uues liikmesriigis tegevusluba teenuse
osutamise jätkamiseks. ÄS § 4918 reguleerib võlausaldajate kaitset, kuid tagatise saamise õigus
on vaid võlausaldajal, kelle nõuded on tekkinud enne piiriülese ümberkujundamise projekti
avalikustamist, ja nõuete osas, mis ei ole muutunud avalikustamise kuupäevaks sissenõutavaks.
VpTS § 11917 uus lõige 3. Kuna DORA määruse kohaldamisalasse kuuluvad mh
aruandlusteenuse osutajad, on liikmesriigi valikukoha (artikli 19 lõiked 1 ja 2) rakendamiseks
vajalik ka nende puhul täpsustada, et intsidentidest ja küberohtudest tuleks teavitada ka RIA-t.
Aruandlusteenuse osutajatele kohaldatakse investeerimisühingu kohta sätestatut.
51https://www.eiopa.europa.eu/system/files/2023-12/JC%202023%2070%20-
%20%20CP%20on%20draft%20RTS%20and%20ITS%20on%20major%20incident%20reporting%20under%20DORA.pdf
55
VpTS § 121 lõikes 3 tehakse terminoloogiline muudatus, asendades sõna „infotehnoloogiliste“
terminiga „info- ja kommunikatsioonitehnoloogiliste“.
VpTS § 1246 lõigete 1 ja 3 muutmine. Paragrahv 1246 reguleerib, millised organisatsioonilised
nõuded kohalduvad reguleeritud turu korraldajale. Kui lõikes 1 on sätestatud, et korraldaja
kehtestab õiguslikud, tehnilised ja organisatsioonilised meetmed ja rakendab neid, et tuvastada
ja maandada turu õigus- ja korrapärase toimimise riskid, siis muudatusega lisatakse loetelusse
ka info- ja kommunikatsioonitehnoloogia riskid, mille juhtimisel järgitakse DORA määruse
teises peatükis sätestatut.
VpTS § 1246 lõike 3 muutmine. DORA direktiiv näeb ette, et direktiivi 2014/65/EL artikli 47
lõike 1 punkt c kustutakse, kuna vastav säte on juba kaetud DORA määrusega. VpTS-is on
vastav säte § 1246 lõikes 3. Kuna samas sättes on defineeritud kauplemissüsteem, on eelnõus
otsustatud seda sätet mitte kustutada, vaid lisada sinna viide DORA määrusele.
VpTS § 1246 uus lõige 9. NIS2 direktiivi subjektide hulka kuuluvad mh Euroopa Parlamendi
ja nõukogu direktiivi 2014/65/EL artikli 4 punktis 24 määratletud kauplemiskohtade
korraldajad ning Euroopa Parlamendi ja nõukogu määruse (EL) nr 648/2012 artikli 2 punktis 1
määratletud kesksed vastaspooled (vt NIS2 direktiivi lisa I punkti 4). Kuna DORA määruse on
NIS2 direktiivi suhtes lex specialis ehk NIS2 direktiivi sätete asemel tuleks kohaldada
samaväärseid DORA määruse sätteid, on selguse huvides välja toodud, et korraldaja suhtes ei
kohaldata KüTS 2. peatükis sätestatud küberturvalisuse nõudeid.
VpTS § 1251 lõike 2 muudatus näeb ette, et korraldaja kehtestab teenuse osutamise jätkuvuse
tagamiseks muu hulgas info- ja kommunikatsioonitehnoloogia talitluspidevuse põhimõtted ja
plaani ning info- ja kommunikatsioonitehnoloogia reageerimis- ja taasteplaanid.
VpTS § 1252 lõike 1 muutmine. Paragrahv reguleerib organisatsioonilisi lisanõudeid
elektroonilisel kauplemisel. Muudetava lõike esimeses lauses asendatakse termin
„infotehnoloogilistest süsteemidest“ terminiga „info- ja kommunikatsioonitehnoloogilistest
süsteemidest“. Lõike teise lausesse lisatakse viide DORA määruse peatükkidele II ja IV ehk
korraldaja nõuab turul osalejalt algoritmide asjakohast testimist ja selleks vajaliku keskkonna
loomist vastavalt DORA määruses sätestatule.
VpTS uus § 1253. DORA määruse artikli 19 lõike 1 kohaselt peab finantsasutus teavitama
pädevat asutust tõsistest IKT-ga seotud intsidentidest. Lisaks annab määrus liikmesriigile
võimaluse ette näha, et mõned või kõik finantssektori ettevõtjad esitavad pädevale asutusele
või küberturbe intsidentide lahendamise üksustele, mis on määratud või loodud direktiivi (EL)
2022/2555 kohaselt, ka esialgse teate ja kõik raportid, kasutades DORA määruse artiklis 20
osutatud vorme (lõiked 1 ja 2). Lõikega 1 nähakse ette, et korraldaja teavitab lisaks FI-le ka
RIA-t. Teavitused ja raportid intsidentide kohta tuleb esitada DORA määruse alamaktides
kehtestatud vorme kasutades, lähtudes Finantsinspektsiooni kehtestatud
andmevahetusvormingust ja teabe edastusviisist (vt tehniliste standardite eelnõu
konsultatsioonidokumenti intsidentidest teavitamise kohta).52 Nagu käesoleva seletuskirja
punkti 2.3.2 alampunktis A kirjeldatud, kasutab finantsasutus nii FI kui ka RIA teavitamisel
ühekordset teabeedastamise viisi ehk selle kehtestamisel tuleks Finantsinspektsioonil ka selle
asjaoluga arvestada.
52https://www.eiopa.europa.eu/system/files/2023-12/JC%202023%2070%20-
%20%20CP%20on%20draft%20RTS%20and%20ITS%20on%20major%20incident%20reporting%20under%20DORA.pdf
56
Intsidentide liigitamise kriteeriumid on ette nähtud DORA määruse artikli 18 lõikes 1, kuid
täpsemad kriteeriumid tõsiste intsidentide määratlemiseks töötavad välja ESA-d koostöös EKP
ja ENISA-ga.
Lisaks sätestab DORA määruse artikli 19 lõige 2, et finantsasutused võivad vabatahtlikult
teatada asjaomasele pädevale asutusele olulistest küberohtudest, kui nad peavad ohtu
finantssüsteemi, teenusekasutajate või klientide jaoks oluliseks, sealjuures võivad liikmesriigid
otsustada, et need finantsasutused, kes teatavad vabatahtlikult esimese lõigu kohaselt, võivad
kõnealuse teate edastada ka direktiivi (EL) 2022/2555 kohaselt määratud või loodud küberturbe
intsidentide lahendamise üksustele (lõige 3).
VpTS § 1631 lõike 7 muutmine. Sättesse lisatakse viide uuele VpTS §-le 1253. Lõige
reguleerib, milliseid turu korraldaja suhtes kohalduvaid sätteid kohaldatakse mitmepoolse
kauplemissüsteemi ja organiseeritud kauplemissüsteemi korraldajale.
VpTS § 230 lõike 1 täiendamine uue punktiga. Paragrahv reguleerib FI õigusi ja ülesanded,
sealjuures on lõikes 1 loetelu EL õigusaktidest, milles sätestatu täitmise üle FI järelevalvet
teostab. Sellesse loetelusse lisatakse viide ka DORA määrusele ehk FI teostab järelevalvet muu
hulgas DORA määruses sätestatu üle.
VpTS § 230 uus lõige 7. Kuna § 230 lõike 1 teine lause viitab rikkumise korral ainult VpTS ja
FIS meetmete rakendamisele, täpsustatakse lõike 7 esimeses lauses, et FI-l on mh õigus
rakendada DORA määruses sätestatud meetmeid.
FI peab avalikustama DORA määruse rikkumise korral võetud meetmete alusel tehtud otsuse
kohta teate oma veebilehel nagu on sätestatud artiklis 54.
Et võetud meetmetel oleks hoiatav mõju laiemale avalikkusele, näeb määrus ette rikkumist
puudutavate otsuste avalikustamise. DORA määruse artikli 54 lõike 1 kohaselt avaldavad
pädevad asutused oma ametlikel veebisaitidel põhjendamatu viivituseta kõik halduskaristuse
määramise otsused, mida ei ole edasi kaevatud pärast seda, kui karistuse saanud isikut on
otsusest teavitatud. Lõige 5 näeb samas ette, et kui pädev asutus avaldab halduskaristuse
määramise otsuse, mis on asjaomastele kohtuasutustele edasi kaevatud, lisavad pädevad
asutused ühtlasi viivitamata oma ametlikule veebisaidile selle teabe ja hiljem kogu täiendava
teabe sellise edasikaebamise tulemuste kohta. Samuti avaldatakse kohtuotsus, millega
tühistatakse halduskaristuse määramise otsus.
Avaldada tuleb teave rikkumise liigi ja laadi kohta, vastutavad isikud ning määratud karistused.
Erandiks on olukorrad, kus juriidilise isiku nime või füüsilise isiku nime ja isikuandmete
avaldamine oleksid ebaproportsionaalsed või nende andmete avaldamine ohustaks
finantsturgude stabiilsust või pooleli olevat uurimist (eelkõige mõeldud järelevalve- ja
väärteomenetlust, kuid võib hõlmata ka kriminaalmenetlust tegevusloata tegutsemise puhul)
või põhjustaks asjaomasele isikule ebaproportsionaalselt suurt kahju. Sellisel puhul võib
avaldamise edasi lükata, jätta isikuid puudutav teave avaldamata või loobuda sellise kaasuse
kohta teabe avaldamisest üldse.
Kuigi DORA määruse artikkel 54 viitab vaid halduskaristuste avalikustamisele, on direktiivi
2014/65/EL artiklis 71 sätestatud, et liikmesriigid tagavad, et pädevad asutused avaldavad oma
ametlikul veebisaidil kõik otsused halduskaristuste või muude meetmete kohta, mis on
mõistetud või võetud määruse (EL) nr 600/2014 või käesoleva direktiivi (2014/65/EL)
rakendamiseks vastu võetud siseriiklike sätete rikkumise eest. VpTS § 230 lõike 41 kohaselt
avalikustab FI oma veebilehel seaduse 3., 31. ja 4. osas sätestatud kohustuse rikkumisega seoses
57
tehtud väärteoasja lahendi või haldusakti viivitamata pärast selle teatavaks tegemist ehk vastav
säte anna aluse ka muude meetmete (nt ettekirjutus) avalikustamiseks, kui rikutakse DORA
nõudeid.
VpTS uus § 23790. Seadust täiendatakse uue karistusnormiga, mida FI saab kohaldada DORA
määruses sätestatud nõuete rikkumise korral. Nimelt on DORA määruse artikli 50 lõikes 3
sätestatud, et liikmesriigid kehtestavad õigusnormid, milles sätestatakse asjakohased
halduskaristused ja parandusmeetmed määruse rikkumise puhuks, ning tagavad nende
tulemusliku rakendamise. Sama artikli lõike 4 punktis c on sätestatud, et liikmesriigid annavad
pädevatele asutustele õiguse võtta mis tahes liiki meetmeid, sealhulgas rahalisi meetmeid,
tagamaks, et finantssektori ettevõtjad jätkavad õigusnormide järgimist. Eelnõuga nähakse ette,
et füüsilise isiku korral on võimalik karistada rahatrahviga kuni 5 000 000 eurot või kuni
kahekordse väärteo tulemusel teenitud kasule või ära hoitud kahjule vastavas summas ning
juriidilise isiku korral karistatakse rahatrahviga kuni 5 000 000 eurot või kuni kahekordse
väärteo tulemusel teenitud kasule või ära hoitud kahjule vastavas summas või kuni kümme
protsenti juriidilise isiku või tema konsolideerimisgrupi konsolideeritud käibest.
Uue paragrahvi sätestamisel on lähtutud VpTS-is sätestatud kehtivatest karistusmääradest ja
karistuste määramise alustest. Finantssektori karistusnormid on suures osas reguleeritud liidu
õiguses, kus reeglina on ette nähtud analoogsed meetmed karistuste rakendamiseks (sh
fikseeritud rahaliste suuruste piirmäärad). Kuna DORA määruse nõuded integreeritakse DORA
direktiiviga vastavatesse finantssektori õigusaktidesse (investeerimisühingute ja korraldajate
puhul direktiivi 2014/65/EL), on ka eelnõu puhul võetud lähenemine, et DORA nõuete
rikkumise eest ette nähtud karistused oleksid kooskõlas vastavates liidu õigusaktides ette
nähtud karistussätetega. VpTS uue paragrahvi puhul on võetud aluseks direktiivi 2014/65/EL
artikli 70 lõike 3 punkti a alapunktid iv, v, xxvii ja xxviii ning lõike 6 punktid f–g. DORA
direktiivi kohaselt muudetakse 2014/65/EL direktiivi artikleid 16 ja 17 ning 47 ja 48 nii, et
sinna lisatakse viited DORA nõuete rakendamisele. Kuna direktiivi 2014/65/EL artikli 70 lõike
3 punkti a alapunktid viitavad nende artiklite rikkumistele, hõlmab see ühtlasi DORA nõuete
rikkumist.
Uue paragrahvi lõike 1 sõnastuses on viidatud järgmistele DORA määruse nõuete rikkumistele:
- art 5–14: IKT- riski juhtimine;
- art 16–18, art 19 lõiked 1, 3–5: IKT intsidentide haldamine ja liigitamine ning nendest
teavitamine;
- art 24, 25, art 27 lõiked 1–8: digitaalse tegevuskerksuse testimine;
- art 28 lõiked 1–8, art 29, art 30 lõiked 1–4: kolmandast isikust tuleneva IKT-riski juhtimine;
- art 42 lg 3: kolmanda isikuga seotud riskide arvesse võtmine.
VpTS § 23789 ja § 2622 kehtetuks tunnistamine ning uus § 2623. Muudatus on normitehniline,
menetluse paragrahvi asukoht muutub. Samuti tõstetakse menetluse paragrahvi väärtegude
aegustähtaeg, mistõttu tunnistatakse § 2622 kehtetuks. Väärtegude nn üldine aegumise tähtaeg
on kaks aastat. KarS § 81 lõige 3 võimaldab väärtegude kaheaastase aegumistähtaja asemel ette
näha ka viieaastase aegumistähtaja. Finantsinspektsioon on korduvalt tähelepanu juhtinud, et
üldine aegumise tähtaeg ei ole finantsvaldkonnas toimepandud väärtegude keerukuse tõttu
menetluse läbiviimiseks piisav.
Finantssektori väärtegude kolmeaastased aegumistähtajad nähti ette finantsvaldkonna
väärteokaristuste reformi raames. Paralleelselt menetleti JuMi vastutusvaldkonda kuuluvat
karistusseadustiku muutmise ja sellega seonduvalt teiste seaduste muutmise seadust (Euroopa
Liidu õigusest tulenevad rahatrahvid), mille seletuskirjas on selgitatud, et
„väljatöötamiskavatsuse kooskõlastamisel avaldati arvamust, et kõrgema rahatrahvi
58
ülemmääraga karistatavate väärtegude korral tuleks sätestada senisest pikem aegumistähtaeg.
Eelnõu koostamisel leiti algselt, et kuna kehtiv õigus võimaldab teatud väärtegude korral
sätestada kaheaastase aegumistähtaja asemel kolmeaastase aegumistähtaja (KarS § 81 lg 3) ning
suurema ebaõigussisuga teise astme kuritegu aegub viie aastaga (KarS § 81 lg 1 p 2), ei ole
praegu erisuse loomine vajalik. Sellegipoolest leiti ka eelnõu kooskõlastamisel esitatud
arvamustes jätkuvalt, et väärtegude üldine aegumistähtaeg ei võimalda finants- ja andmekaitse
valdkonnas väärteomenetlusi tõhusalt läbi viia, arvestades nendes valdkondades toime
pandavate väärtegude keerukust“. Teise lugemise seletuskirjas on lisaks, et „esimese lugemise
läbinud eelnõus ei nähtud ette väärtegude aegumistähtaja pikendamist, vaid sätestati täiendavad
aegumise katkemise alused. Arvestades siiski teatud valdkondade eripära, võib senisest
suuremate trahvide korral olla põhjendatud ka pikemate aegumistähtaegade sätestamine. Nii
näiteks on EL määruse (EU) 468/2014 artikli 130 kohaselt Euroopa Keskpanga poolt
kohaldatavate trahvide korral aegumistähtajaks 5 aastat. Kui krediidiasutus ei allu Euroopa
Keskpanga järelevalvele, oleks Eestis sama rikkumise korral aegumistähtaeg põhjendamatult
lühem. Kehtiv KarS § 81 lg 3 näeb ette, et üldreeglina on väärteo aegumistähtaeg 2 aastat ning
seaduses sätestatud juhtudel võib ette näha kolmeaastase aegumistähtaja. Ettepaneku kohaselt
jääks KarS § 81 lg 3 üldreegliks 2 aastat, kuid seaduses võib ette näha ka kuni 5-aastase
aegumistähtaja (so kolme-, nelja- või viieaastase aegumistähtaja). Arvestades siiski, et 5-
aastane aegumistähtaeg on ka teise astme kuriteo aegumistähtajaks, peaks nii pikk
aegumistähtaeg väärtegude korral olema siiski erandlik.“.
Finantsvaldkonnas võib olla tegemist väga keeruliste kaasustega, mis on tavaliselt nn
peitsüüteod (nagu näiteks ka maksustamise valdkonna süüteod), s.t. rikkumise toimepanemise
asjaolud ei ole kergelt märgatavad, kannatanut ei ole või tema isik ei ole teada ja süüteo
toimepannud isik teeb kõik endast oleneva, et järelevalveasutus ei avastaks rikkumist.
Seaduse normitehniline märkuse. Muudatusega lisatakse viide DORA direktiivile.
Eelnõu § 11. Seaduse jõustumine.
DORA nõuete rakendamiseks vajalikud seadusemuudatused jõustuvad 17. jaanuaril 2025.
Kindlustussummade muutmise määruse muudatused jõustuvad 2024. aasta 9. oktoobril. Vastav
jõustumiskuupäev on ette nähtud kindlustussummade muutmise määrus artiklis 2. Ülejäänud
muudatused jõustuvad tavakorras.
4. Terminoloogia
Eelnõuga võetakse kasutusele järgmised uued terminid:
- digitaalne tegevuskerksus (DORA määruse artikli 3 punkt 1) – finantssektori ettevõtja
suutlikkus luua, tagada ja vaadata läbi oma tegevuse terviklikkust ja usaldusväärsust,
tagades kas otseselt või kaudselt kolmandast isikust IKT-teenuste osutajate pakutavate
teenuste kasutamise kaudu kogu IKTga seotud suutlikkuse, mida on vaja selliste võrgu- ja
infosüsteemide turvalisuse käsitlemiseks, mida finantssektori ettevõtja kasutab ning mis
toetavad finantsteenuste jätkuvat osutamist ja nende kvaliteeti, sealhulgas katkestuste
vältel;
- võrgu- ja infosüsteemid (DORA määruse artikli 3 punkt 2) – NIS2 direktiivi artikli 6 punktis
1 määratletud võrgu- ja infosüsteem. NIS2 direktiiv omakorda määratleb, et võrgu- ja
infosüsteem on (a) direktiivi (EL) 2018/1972 artikli 2 punktis 1 määratletud elektroonilise
side võrk; (b) seade või omavahel ühendatud või seotud seadmete rühm, millest vähemalt
ühes toimub mõne programmi kohaselt digiandmete automaatne töötlemine, või (c)
digiandmed, mida salvestatakse, töödeldakse, saadakse päringutega või edastatakse
59
punktidega a ja b hõlmatud komponente kasutades nende töö, kasutamise, kaitsmise või
hooldamise jaoks;
- tõsine IKT-ga seotud intsident – IKT-ga seotud intsident, millel on suur negatiivne mõju
võrgu- ja infosüsteemidele, mis toetavad finantssektori ettevõtja kriitilise tähtsusega või
olulisi funktsioone;
- oluline kübeoht – küberoht, mille tehnilised tunnused näitavad, et selle tulemuseks võib olla
IKTga seotud oluline intsident või tegevust või turvalisust mõjutav maksetega seotud
oluline intsident;
- IKT-teenus – digi- ja andmeteenus, mida osutatakse pidevalt IKT-süsteemide kaudu ühele
või mitmele sise- või väliskasutajale, sealhulgas riistvara teenusena ja riistvarateenused, mis
hõlmab tehnilise toe pakkumist riistvara pakkuja tarkvara- või püsivarauuenduste kaudu,
välja arvatud tavapärased analoogtelefoniteenused;
5. Eelnõu vastavus Euroopa Liidu õigusele
Eelnõu on kooskõlas Euroopa Liidu õigusega (vt seletuskirja lisas 1 esitatud tabelit DORA
direktiivi ja DORA määruse vastavuse kohta).
6. Seaduse mõjud
6.1. Mõju finantsasutustele
Sihtrühma suurus. FI tegevusloa ja registreeringu alusel tegutsevad finantsasutused (vt
seletuskirja punkti 2.4).
Mõju majandusele
Mõju ulatus ja
avaldumise
sagedus
DORA määrus näeb ette finantsasutusele üsna detailsed digitaalse
tegevuskerksuse tagamise reeglid. Operatsiooniliste riskide, sealhulgas
IKT riskide juhtimise nõuded, sealhulgas nõuded küberturvalisuse
tagamiseks, ei ole finantssektori jaoks midagi uut. Osaliselt on määrusega
kehtestatavad nõuded juba kaetud erinevate standardite, seaduste ja
suunistega: ISO/IEC 27000 standardipere standardid, küberturvalisuse
seadus, hädaolukorra seadus ja FI juhendid (nt nõuded finantsjärelevalve
subjekti infotehnoloogia ja infoturbe korraldusele), EBA suunis pankade
IKT ja turvariskide juhtimiseks, EIOPA suunis pilveteenuseosutajatele
tegevuse edasiandmise kohta ja SSM järelevalve). Lisaks on
eurosüsteemis välja töötatud Cyber Resilience Oversight Expectations.
Seega kõik DORA nõuded ei ole ettevõtjate jaoks täiesti uued, kuid DORA
eesmärk on ühtlustada ja spetsifitseerida IKT-riskidega seotud seniseid
nõuded, mistõttu sõltub kaasnev mõju mh sellest, mis ulatuses ja tasemel
on ettevõtjad seni tegelenud IKT-riskide juhtimise ja küberturvalisuse
tagamisega ehk milline on nende hetkeseis DORA nõuetele vastamisel ja
millised puudused tuleb nõuetele vastavuse tagamiseks kõrvaldada. See
on tase on ettevõtjatel erinev, sõltudes ka vastavast finantssektorist.
Kuigi suuremad ja keerukamad finantsasutused juba omavad keerulisi
IKT-süsteeme ja protseduure, tähendab ka nende läbivaatamine ja DORA
nõuetega kooskõlla viimine halduskoormuse tõusu.
Võib väita, et digitaalse tegevuskerksuse nõuete rakendamiseks peavad
finantsasutused teatud ümberkorraldusi tegema (nt juhtimisstruktuuri
tõhustamine), mis eeldab täiendavate rahaliste vahendite kaasamist.
Samas sõltub see taas finantsasutusest ja tema tegevusprofiilist, kas
60
juhtimiskorralduses on vaja teha muudatusi seoses uute isikute tööle
värbamisega. Lisaks on määrusega ette nähtud IKT-turbe teadlikkuse
suurendamise programmid ja digitaalse tegevuskerksuse koolitused,
edendamaks ettevõtja igal tasandil kõigi töötajate suurt teadlikkust
küberriskidest ja pühendumust tagada kõigil tasanditel range
küberhügieen. Viidatud programmid ja koolitused tähendavad jällegi
kulusid ettevõtjale. Kuna küberturvalisuse tagamine on ettevõtjasisene
pidev protsess, siis on ka sellega kaasnevad kulud pidevad. Samas on
DORA üheks oluliseks põhimõtteks, et finantsasutused peaksid IKT-riski
juhtimise raamistiku rakendamiseks ressursside ja suutlikkuse jaotamisel
võtma oma IKT-ga seotud vajaduste puhul igakülgselt arvesse oma
suurust ja üldist riskiprofiili ning oma teenuste, tegevuse ja toimingute
laadi, ulatust ja keerukust. Seega ka kulud peaks olema proportsioonis
asutuse suuruse ja tegevuse laadiga.
Üldine vastutus IKT riskijuhtimise raamistiku ja muude DORA
kehtestatud juhtimiskohustuste eest lasub finantsasutuse juhtkonnal, kes
vastutab raamistiku ülevaatamise, heakskiitmise, rakendamise ja
ajakohastamise eest.
Ainuüksi esmase küberhügieeni järgimine aitab minimeerida
finantsasutuse äriprotsesside katkestuste mõju ning hoida ära majandusele
suurte kulude tekkimist.
Finantsinspektsiooni 2022. aasta aastaraamatus53 on välja toodud, et 2022.
aastal teavitasid pangad ja makseasutused Finantsinspektsiooni olulisest
IT-intsidendist kokku 65 korral, küberrünnakute põhjustatud juhtumeid oli
üheksa. Sõltumata rünnete sagenemisest ei õnnestunud nendega
märkimisväärseid kahjusid pankadele tekitada ega segadust põhjustada.
Pangad olid rünnakute tõrjumiseks hästi valmistunud.
Digitaalse tegevuskerksuse baastestimise nõuded kohalduvad kõikidele
finantsasutustele, mistõttu ettevõtjad, kellele varasemalt ei ole analoogsed
nõuded kohaldunud või neid pole sisekorrareeglites ette nähtud, peavad
oma süsteemid ja protsessid viima vastavusse mh testimise nõuetega.
Kõrgemad testimise nõuded (süvastestimine) kohalduvad olulistele ja
kübervõimekatele teenuseosutajatele (näiteks suured, süsteemselt olulised
ja IKT seisukohast küpsed krediidiasutused, börsid, väärtpaberite
keskdepositooriumid ja kesksed vastaspooled). Seega võib väita, et
süvatestide tegemisega kaasnev halduskoormuse tõus ja rahaliste kulude
suurenemine mõjutab siiski väikest, aga olulist osa finantssektorist. Kuna
testimist tuleb läbi viia iga kolme aasta tagant, avaldub viidatud mõju
suures osas iga kolme aasta tagant (samas võib pädev asutus nõuda
põhjendatud juhul ka sagedamast testimist ning sellisel juhul avaldub
mõju sagedamini).
Kuna ohuteabel põhineval läbistustestimisel tuleb üldjuhul kasutada
välistestijaid/Red Team’i (sisetestijad on lubatud teatud tingimustel ja vaid
pädeva asutuse nõusolekul), siis see tähendab ettevõtja jaoks samuti
53https://www.fi.ee/sites/default/files/2023-04/Finantsinspektsiooni%20aastaraamat%202022_0.pdf
61
märkimisväärseid kulusid. Kulud võivad varieeruda sõltuvalt ettevõtja
suurusest, tegevusvaldkonnast, turvameetmete tasemest, keerukusest,
testimise ulatusest jne, jäädes keskmiselt 40 000 euro kanti. Sisemiste
testijate kasutamisel ei ole kulud eelduslikult nii suured, kuid ettevõtja
peab tagama sisemisete testijate koolitamise. Kuigi kulud võivad olla
märkimisväärsed, on see oluline investeering ettevõtte turvalisuse
tagamiseks ja võimalike kahjude, sealhulgas mainekahju, ennetamiseks.
Andmelekked võivad ettevõtjale maksma minna miljoneid eurosid.
Kõikidele finantsasutustele kohalduvad ka IKT-teenuse edasiandmise
nõuded. Kuivõrd finantssektoris kehtivad õigusaktid ja suunised hõlmavad
samuti nõudeid teenuste edasiandmisele (sealjuures ESA-de suunised),
siis peavad finantsasutused juba käesoleval hetkel järgima EL õigusest
tulenevaid nõudeid teenuste edasiandmisele. Samas võib DORA määruse
kohaldamine tähendada, et senised IKT teenuseosutajad ei sobi enam
teenuseosutajaks (näiteks võib finantsasutus sõlmida lepingu IKT
teenuseosutajaga, kes vastab asjakohastele infoturbestandarditele) ja
finantsasutus peab leidma partneri, kellega seotud kulud võivad olla
suuremad kui seni oli arvestatud.
Vabatahtlik teabevahetus küberohtudest teiste finantsasutustega võib
tähendada küll halduskoormuse tõusu, kuid kogemuste vastastikune
jagamine võib ära hoida uusi intsidente ja kulusid ettevõttele. Kuna
tegemist on vabatahtlikkusel põhineva sättega, siis ei saa sellega seotud
mõju pidada ka oluliseks.
Digitaalse tegevuskerksuse nõuete järgmine on pidev. Suurem mõju
avaldub IKT-riskide juhtimise raamistiku väljatöötamisel, digitaalse
tegevuskerksuse testimisel, eriti süvatestimisel, ning oluliste IKT-ga
seotud intsidentide haldamisel.
Ebasoovitavate
mõjude
avaldumise
risk
Ebasoovitavate mõjude avaldumise risk võib esineda olukorras, kui
vaatamata digitaalse tegevuskerksuse nõuete järgimisele ei õnnestu IKT-
ga seotud tõsiseid intsidente ära hoida, mis võib omakorda ettevõtjas kaasa
tuua ärikatkestusi või tõrkeid kriitiliste funktsioonide toimimisel, mis
omakorda võib tähendada ettevõttele rahalist kahju. Halvimal juhul saavad
küberrünnete toimepanijad finantsasutuse kaudu rahalist tulu, tuues
sellega ettevõtja jaoks kaasa märkimisväärsed majanduslikud tagajärjed.
Samuti võib ettevõtja reputatsioon kannatada ja ettevõtja võib jääda ilma
hetke ja potentsiaalsetest klientidest.
Seega jääb alati ülesse risk, et vaatamata küberkerksuse nõuete
rakendamisele, on küberründajad ettevõtjatest kaks sammu ees.
Lisaks võib ebasoovitav mõju avalduda juhul, kui IKT-teenuseosutaja või
temaga seotud leping ei vasta õigusaktist tulenevale nõudele, mistõttu
tuleb teenuseosutaja välja vahetada. Ka IKT teenuseosutaja
maksejõuetuks muutumine või tegevuse katkemine võib avaldada
finantsasutustele süsteemset mõju. Samas ei pruugi teatud teenuseosutajad
olla hõlpsasti asendatavad. Seetõttu ongi oluline, et kriitilisi ja olulisi
funktsioone toetavad IKT-teenuse lepingud sisalduksid ka
väljumisstrateegiaid sellise riski maandamiseks.
62
Mõju olulisus Keskmine mõju, arvestades, et finantsasutused rakenduvad juba hetkel
toimepidevuse nõudeid.
Sotsiaalne mõju
Sõltub finantsasutusest, kas asutuse juhtimiskorralduses on vaja teha
muudatusi seoses uute isikute tööle värbamisega.
Määrusega on ette nähtud IKT-turbe teadlikkuse suurendamise
programmid ja digitaalse tegevuskerksuse koolitused, edendamaks
ettevõtja igal tasandil kõigi töötajate suurt teadlikkust küberriskidest ja
pühendumust tagada kõigil tasanditel range küberhügieen.
6.2. Mõju investoritele ja finantsteenuste klientidele
Sihtrühma suurus. Sihtrühma suurust klientide arvu mõttes on käesoleval hetkel keeruline
hinnata, kuid arvestades, et ainuüksi arvelduskonto on Eestis 98%-l täisealisest elanikkonnast,
võib väita, et potentsiaalse sihtrühma suurusega on hõlmatud peaaegu kogu Eesti täisealine
elanikkond.
Majanduslik mõju
Mõju ulatus ja
avaldumise
sagedus
Kuna finantsasutused arendavad nõuetele tuginedes IKT-suutlikkust ja
üldist kerksust, et tulla toime tegevuse katkestustega, aitab see säilitada
EL finantsturgude stabiilsust ja usaldusväärsust ning seega tagada
investorite ja tarbijate kaitse kõrge taseme.
Nõuete rakendamine aitab kaitsta nii teabevara klientide kohta kui ka
klientide rahalisi vahendeid. Klientide usaldus, et nende andmed on
kaitstud, tõuseb.
Ebasoovitavate
mõjude
avalumise risk
Sõltub ilmselt finantsasutusest, kas uutele nõuetele vastavuse tagamine
eeldab niivõrd suuri ressursse, et see võiks mõjutada ka finantsteenuse
hinda (ehk teenus muutub kliendi jaoks kallimaks).
Mõju olulisus Klientide kaitse on alati olulise mõjuga, kuid klientide enda
halduskoormus seoses eelnõuga ei tõuse, samuti ei tohiks eelnõu
rakendamine mõjutada teenuse hindasid. Kokkuvõttes on mõju klintidele
positiivne, kuna DORA nõuded tagavad kõrgemad turvastandardid ning
klientide andmete ja vara parema kaitse.
Sotsiaalne mõju
Kui finantsasutus ei suuda tagada küberkerksuse kõrget taset, siis
mustema stsenaariumi kohaselt võivad küberründed olla finantsteenuste
klientidele selliste tagajärgedega, et need võivad mõjutada ka klientide
toimetulekut rahaliselt.
6.3. Mõju kriitilise tähtsusega kolmandast isikust IKT-teenuseosutajatele
Sihtrühma suurus. Sihtrühma kuuluksid IKT teenuseosutajad, kes on Euroopa mõistes suured,
osutades teenust mitmes liikmesriigis ja suurele hulgale finantsasutustele, sealjuures võetakse
nende määratlemisel arvesse pakutavate teenuste süsteemset mõju ja iseloomu ning
finantsasutuste sõltuvust nende osutatavatest teenustest. Kriitilise tähtsusega IKT
teenuseosutaja määratlemiseks kehtestatakse lisaks DORA määruse üldisematele
kriteeriumitele alamakt ning lõpliku otsuse, millised ettevõtjad on kriitilised selle määratluse
alusel ja hakkaksid kuuluma EL-ülese järelevaatamise alla, teevad ESA-d.
63
Pigem võiks eeldada, et ükski Eesti IKT teenuseosutaja sihtrühma ei kuulu.
Mõju ulatus ja
avaldumise
sagedus
ESA-d hakkavad teostama Euroopa-ülest järelevaatamist kriitilise
tähtsusega ITK teenuseosutajate üle ning sellega kaasnevaid kulusid
rahastataks täielikult kriitilise tähtsusega kolmandast isikust IKT-teenuste
osutajatele kehtestatud tasudest. Seega tähendab uus regulatsioon rahalisi
kulusid ainuüksi tasude näol.
Ebasoovitavate
mõjude
avaldumise risk
Kui teenuseosutaja ei ole teavitanud juhtivat järelevalveasutust, kas ta
järgib talle tehtud soovitust või mitte või kui teenuseosutaja selgitus ei ole
piisav selle kohta, miks ta ei järgi soovitust, siis avaldatakse sellised
juhud. Avaldatud teabes avalikustatakse sellise IKT-teenuseosutaja
identiteet ning teave nõuete täitmata jätmise liigi ja laadi kohta.
Mõju olulisus Arvestades, et ilmselt ükski Eesti ettevõtja kriitilise tähtsusega IKT
teenuseosutaja määratluse alla ei lähe, mõju puudub.
6.4. Mõju riigiasutuste ja kohaliku omavalitsuse korraldusele
Sihtrühm: FI ja RIA.
Mõju riigiasutuste ja kohaliku omavalitsuse korraldusele
Mõju ulatus ja
avaldumise
sagedus
Finantsinspektsioon
Kavandatavad muudatused mõjutavad FI järelevalvelist tegevust, kuna FI
on DORA määruse artikli 46 kohaselt pädev asutus, kes teostab
järelevalvet digitaalse tegevuskerksuse nõuete täitmise üle. Järelevalve
teostamine eeldab spetsiifilisi teadmisi IKT riskidest, süsteemidest,
vahenditest jne. Sealjuures peab FI-s olema kompetents, et hallata
teavitusi, mida finantsasutused FI-le edastavad seoses tõsiste IKT
intsidentidega. Järelevalve on pidev.
Kuigi FI valmisolek teostada DORA määruse nõuete üle järelevalvet on
juba käesoleval hetkel väga hea, on Finantsinspektsioon alustanud
kübervaldkonna erialase taseme tõstmisega ja ekspertide kaasamisega
(täiendavad töökohad ja erialased koolitused) ning vastavate kulutustega
on 2024. a eelarve koostamisel juba ka arvestanud. Finantsinspektsioon
kavandab juurde luua 12 täiendavat töökohta, kuid need seonduvad lisaks
digitaalse tegevuskerksuse nõuete järelevalvele ka inkasso valdkonna
järelevalve mehitamise ja uute ülesannetega seoses kriisilahendusega.
Finantsinspektsiooni 2022. aasta aastaraamatus on kirjas, et
„Finantsinspektsioon hindab oma järelevalvetegevuse käigus muu hulgas
pankade IT-organisatsiooni, IT-struktuuri ja haldust, talitluspidevust,
arendustöid, turvalisust ja küberriskide juhtimist tervikuna.
Finantsinspektsioon analüüsib regulaarse aruandluse põhjal kõiki olulisi
intsidente, vajadusel küsib pankadelt tegevuskavasid ning jälgib, et
rakendataks meetmeid, mis aitavad tulevikus sarnaste intsidentide
kordumist vältida. Inspektsioon koostab valdkonnaüleseid IT- ja
küberriskianalüüse, mille põhjal tuvastab suure IT-riskiga finantssektori
osad. Suurte IT-riskidega pangad peavad välja töötama tegevuskavad,
mida Finantsinspektsioon jälgib eriaruandluse korras. Lähtuvalt riskidest
analüüsib inspektsioon detailsemaid teemasid – aastal 2022 oli fookus
pankade küberriskide haldusel ja maandamisel ning IT turvatestimiste
protsessi toimimisel.“
64
Seoses EL-ülese järelevaatamisega kriitilise tähtsusega IKT
teenuseosutajate üle, peab FI kõrgetasemeline esindaja kuuluma
järelevaatamise foorumisse. Lisaks on FI esindaja kontrollrühma liige,
kui Eesti finantsasutusele osutab teenust kriitilise tähtsusega IKT-
teenuseosutaja ning selle teenuseosutaja jaoks on moodustatud juhtivat
järelevalveasutust abistav kontrollrühm. Viidatud rühmitustes osalemine
eeldab rahaliste vahendite suurendamist.
ESA-de DORA määruse rakendamiseks vajalike IKT-süsteemide
arendamist rahastatakse esialgu liidu ja riiklike pädevate asutuste
osamaksetest (hiljem kaetakse püsikulud kriitliste IKT-teenuseosutajate
enda tasudest). Kuna ESA-d alles koostavad vastavaid eelarveid, ei ole
hetkel teada, kas või kui palju see FI osamakse suurust võib mõjutada.
Riigi Infosüsteemi Amet
Koostöö FI-ga ja tehnilise nõu andmine, kui FI seda vajab, võib tähendada
halduskoormuse tõusu (mõju riigieelarvele), kuid eeldatavasti on sellisest
koostööst saadav kasu proportsioonis sellele kuluva ressurssiga.
Kuna finantsasutuste teavitused tõsiste IKT intsidentide kohta jõuavad ka
RIA-ni, aitab see suurendada ameti teadlikkust finantsasutuste
küberintsidentidest ning hõlbustada asjakohastel juhtudel viivitamatu abi
osutamist neile.
Ebasoovitavate
mõjude
avaldumise risk
Ebasoovitavate mõjude avaldumise riski ei tuvastatud.
Mõju olulisus Mõju võib pidada keskmiseks.
Seadus ei mõjuta kohalike omavalitsuste korraldust.
6.5. Muud mõjud
Regulatsioonil puudub mõju riigi julgeolekule ja välissuhetele, elu- ja looduskeskkonnale ning
regionaalarengule.
DORA määruse artikli 1 lõike 3 kohaselt ei piirata DORA määrusega liikmesriikide vastutust
seoses riigi põhifunktsioonidega avaliku julgeoleku, riigikaitse ja riikliku julgeoleku tagamisel
kooskõlas liidu õigusega.
Eelnõu koostamise käigus ei ole tehtud andmekaitse mõjuhinnangut, kuna eelnõu alusel ei
töödelda GDPR artiklist 35 tulenevaid isikuandmeid, millest võiks tekkida suur oht isikute
õigustele ja vabadustele.
6.6. Mõjude kokkuvõte
Halduskoormus finantsasutustele. Ettevõtjate halduskoormus suureneb, kuid sõltuvalt
ettevõtjast on see mõju erinev.
Halduskoormuse klientidele. Eelnõu ei mõjuta finantsteenuste klientide halduskoormust.
65
Halduskoormus avalikule sektorile. Avaliku sektori halduskoormus võib suureneda, seda
eelkõige seoses koostöö tõhustamisega FI ja RIA vahel.
7. Seaduse rakendamisega seotud riigi ja kohaliku omavalitsuse tegevused, eeldatavad
kulud ja tulud
Seaduse rakendamisega ei kaasne tulusid riigieelarvele ning eelnõu ei ole seotud kohalike
omavalitsuse üksuste tegevusega. RIA koostöö FI-ga ja tehnilise nõu andmine võib tähendada
riigieelarve kulude suurenemist.
8. Rakendusaktid
Eelnõuga ei kehtestata uusi rakendusakte. Samuti ei ole vaja muuta ja tunnistada kehtetuks
kehtivaid rakendusakte.
DORA määruse rakendumisel tuleks korrigeerida asjakohaste Finantsinspektsiooni
soovituslike juhendite kohaldamisala, et oleks üheselt selge, et need, kes DORA määruse
kohaldamisalasse ei kuulu, siis neile jääb juhend kohalduma. Juhendite koostamine ja
ajakohastamine kuulub FI pädevusse.
9. Seaduse jõustumine
Seadus jõustub osaliselt 17. jaanuaril 2025. a. Jõustumise tähtaeg on seotud DORA nõuete
rakendamise kuupäevaga, milleks on 17. jaanuar 2025. a (vt DORA määruse artikkel 64).
Komisjoni kindlustussummade muutmise määrusest tulenevad muudatused jõustuvad 2024.
aasta 9. oktoobril (kindlustussummade määruse artikkel 2). Kuna uutele kindlustussummadele
üleminekuks on ette nähtud vaid kuus kuud, on vastavad muudatused lisatud käesolevasse
eelnõusse, et asjakohased kindlustusvahendajad oleksid aegsasti teadlikud muudetud
summadest.
Muud muudatused, mis ei ole seotud DORA direktiivi ülevõtmise ja kindlustussummade
muutmisega, jõustuvad üldkorras. Muudatus õigusnormide kohaldamiseks ei ole vajalik ette
näha üleminekuperioodi, kuna muudatused on osaliselt normitehnilised.
10. Eelnõu kooskõlastamine ja huvirühmade kaasamine
Eelnõu esitati läbi eelnõude infosüsteemi EIS kooskõlastamiseks ministeeriumidele ja
Finantsinspektsioonile ning arvamuse avaldamiseks Riigikantseleile, Riigi Infosüsteemide
Ametile, Eesti Pangale, MTÜ FinanceEstonia-le, Eesti Pangaliidule, Eesti Kindlustusseltside
Liidule, Eesti Kindlustusmaaklerite Liidule, Eesti Hoiu-laenuühistute Liidule, Nasdaq Tallinna
Börsile, Nasdaq CSD SE Eesti filiaalile, Eesti Kaubandus-Tööstuskojale, Eesti Väike- ja
Keskmiste Ettevõtjate Assotsiatsioonile, Eesti Infotehnoloogia ja Telekommunikatsiooni
Liidule ja muudele finantssektori ettevõtetele.
Märkustega tagasiside saadi Justiitsministeeriumist, Majandus- ja
Kommunikatsiooniministeeriumist, Finantsinspektsioonist, Riigikantseleist, MTÜ
FinanceEstoniast, Eesti Pangaliidult, Eesti Kindlustusseltside Liidust ja Eesti Kaubandus-
Tööstuskojalt (vt märkuste tabelit lisa 2).
66
Algatab Vabariigi Valitsus
………………… 2024
(allkirjastatud digitaalselt)
Heili Tõnisson
Valitsuse nõunik
LISA 1. Euroopa Liidu direktiivi ja Eesti õigusakti vastavustabel
EL
direktiivi
(EL)
2022/2556
norm
Muudetav direktiivi
säte
EL-i õigusakti
normi ülevõtmise
kohustus
(Jah, ei,
valikuline)
EL-i õigusakti
normi sisuliseks
rakendamiseks
kehtestatavad
riigisisesed
õigusaktid
Kommentaar
Art 1 p 1 2009/65/EÜ art 12 lg 1,
teine lõik, a
Jah IFS § 344 lg 3 p 3,
§ 345 lg 11
Art 1 p 2 2009/65/EÜ art 12 lg 3
Ei
-
Ei ole vaja üle
võtta, Komisjoni
kohustus
Art 2 p 1 2009/138/EÜ art 41 lg
4
Jah KindlTS § 96 lg
71 ja 105 lg 2 p 2
Art 2 p 2 2009/138/EÜ art 50 lg
1, a ja b
Ei
-
Ei ole vaja üle
võtta, kohaldub
Komisjonile
Art 3 2011/61/EL art 18 lg 1 Jah IFS § 344 lg 3 p 3,
§ 345 lg 11
Art 3 2011/61/EL art 18 lg 2
Ei
-
Ei ole vaja üle
võtta, kohaldub
Komisjonile
Art 4 p 1 2013/36/EL art 65 lg 3,
a
Jah KAS § 99 lg 1 p
41
Art 4 p 2 2013/36/EL art 74 lg 1,
esimene lõik
Jah KAS § 824 lg 1
Art 4 p 3 2013/36/EL art 85 lg 2 Jah KAS § 824 lg 2
Art 4 p 4 2013/36/EL art 97 lg 1,
d
Jah KAS § 96 lg 5
Art 5 p 1,
a
2014/59/EL art 10 lg 7,
c
Jah FELS § 29 lg 1 p
5
Art 5 p 1,
b
2014/59/EL art 10, lg
7, q
Jah FELS § 29 lg 1 p
8
Art 5 p 1,
c 2014/59/EL art 10 lg 9
Ei - EBA kohustus
Art 5 p 2,
a
2014/59/EL lisa, A
jagu
Jah FELS § 11 lg 1 p
19
Art 5 p 2,
b 2014/59/EL lisa, B jagu
Jah FELS § 28 lg 5 p
141 ja 142
Art 5 p 3,
c 2014/59/EL lisa, C jagu
Jah FELS § 33 lg 4 p
4 ja 41
Art 6 p 1,
a 2014/65/EL art 16 lg 4
Jah VpTS § 811 lg 11
67
Art 6 p 1,
b 2014/65/EL art 16 lg 5
Jah VpTS § 826 lg 4
Art 6 p 2,
a 2014/65/EL art 17 lg 1
Jah VpTS § 8215 lg 1
ja 5
Art 6 p 2,
b
2014/65/EL art 17 lg 7,
a
Ei - ESMA kohustus
Art 6 p 3,
a
2014/65/EL art 47 lg 1,
b
Jah VpTS § 1246 lg 1
Art 6 p 3,
b
2014/65/EL art 47 lg 1,
c
Jah
VpTS § 1246 lg 3
Muudatus näeb ette
2014/65/EL art 47
lg 1 punkti c
kustutamise, kuid
Eesti õigusesse
ülevõtmisel ühtegi
sätet kehtetuks ei
tunnistata, vaid
korrigeeritakse §
1246 lg 3 sõnastust.
Art 6 p 4,
a 2014/65/EL art 48 lg 1
Jah VpTS § 1251 lg 2
Art 6 p 4,
b 2014/65/EL art 48 lg 6
Jah VpTS § 1252 lg 1
Art 6 p 4,
c
2014/65/EL art 48 lg
12, a ja g
Ei - ESMA kohustus
Art 7 p 1 (EL) 2015/2366 art 3, j Jah MERAS § 4 lg 1 p
9
Art 7 p 2,
a
(EL) 2015/2366 art 5 lg
1, esimene lõik, e, f ja h
Jah MERAS § 15 lg 1
p 9, § 50 lg 3 p 9
ja 11
Art 7 p 2,
b
(EL) 2015/2366 art 5 lg
1, kolmas lõik
Jah MERAS § 15 lg
11 p 2
Art 7 p 3 (EL) 2015/2366 art 19
lg 6, teine lõik
Jah MERAS § 62 lg 2
Art 7 p 4 (EL) 2015/2366 art 95
lg 1
Jah MERAS § 635 lg
3
Art 7 p 5 (EL) 2015/2366 art 96
lg 7
Jah MERAS § 636 lg 5
Art 7 p 6 (EL) 2015/2366 art 98
lg 5
Ei - EBA kohustus
Art 8 (EL) 2016/2341 art 21
lg 5
Jah IFS § 223 lg 2, §
344 lg 3 p 3, §
345 lg 11
Art 9 -
Ei
-
Ei ole vaja üle võtta,
direktiivi
ülevõtmise säte.
Art 10 - Ei - Jõustumissäte
Art 11 -
Ei
Ei ole vaja üle võtta,
direktiivi
adressaatide säte.
68
Määruse
(EL)
2022/2554
säte
EL-i õigusakti normi
ülevõtmise kohustus
(Jah, ei, valikuline)
EL-i õigusakti
normi sisuliseks
rakendamiseks
kehtestatavad
riigisisesed
õigusaktid
Kommentaar
Art 2 lg 4 Valikuline HLÜS § 21 Eesti valik on rakendada liikmesriigi
valikukohta. Seega art 2 lg 4 nimetatud
isikud jäävad DORA kohaldamisalast
välja.
Art 19 lg 1 Valikuline Finantssektori
seadustes eraldi
sätted
intsidentidest
teavitamis kohta
Eesti valik on, et finantsasutus teavitab
tõsisest intsidendist samaaegselt nii FI-d
kui ka NIS2 asutust ehk RIA-t.
Art 26 lg 9 Valikuline Eesti on otsustanud valikut mitte kasutada.
Art 32 lg 5 Jah FIS § 46 lg 10 Juhtiva järelevalveasutuse teavitamine, et
FI osaleb järelevalvefoorumi töös.
Art 53 Art 53 kohustab liikmesriike teavitavama
komisjoni, ESMAt, EBAt ja EIOPAt oma
õigus- ja haldusnormidest, millega
võetakse üle DORA määruse 7. peatükk,
sealhulgas asjaomastest kriminaalõiguse
sätetest hiljemalt 17. jaanuariks 2025.
Määruse
(EL)
2022/2554
7.
peatükk
Art 46 Otsekohalduv määrus FIS § 2 lg 1
Art 47 Otsekohalduv määrus FIS § 4711 lg 1–3
Art 48 Otsekohalduv määrus FIS § 6 lg 1 p 6, §
46 lg 1 ja lg 2 p
1–3
Art 49 lg 1 Ei ESA-de kohustus
Art 49 lg 2 Otsekohalduv määrus FIS § 46 lg 1 ja lg
2 p 1–3
§ 4711 lg 6
Art 50 lg 1 IFS ptk 30, KAS
ptk 9, KindlTS
ptk 12, MERAS
ptk 12, VpTS ptk
24, EVKS ptk 6
Art 50 lg
2–6, art 51
ja 54
Otsekohalduv määrus IFS § 455 lg 32, §
456 lg 1, § 458,§
460 ja § 5034,
KAS § 99, § 101,
§ 103, § 103 lg 33,
ja § 13426,
KindlTS § 224 lg
69
3, § 227, § 228, §
231 ja § 2571,
MERAS § 90 lg
2, § 95, § 97, §
100 ja 1091,
VpTS § 230 lg 7,
§ 2303, § 232, §
234 ja § 23790,
EVKS § 39, 39 lg
41, § 41, § 42 ja §
4611 + HMS+ FIS
§ 5 lg 2 + FIS §
54 lg 3, 5
Art 52 Valikukoht Eesti ei ole kasutanud seda võimalust.
Art 55 FIS § 54
Art 56 FIS § 542 lg 4
Suur-Ameerika 1 / 10122 Tallinn / 611 3558 / [email protected] / www.rahandusministeerium.ee
registrikood 70000272
Riigikantselei
Finantsinspektsiooni seaduse ja
teiste seaduste muutmise seaduse
eelnõu (DORA eelnõu)
Esitame Vabariigi Valitsuse istungile heakskiitmiseks Finantsinspektsiooni seaduse ja teiste
seaduste muutmise seaduse eelnõu koos seletuskirja ja märkuste tabeliga, mis on lisatud
käesolevale kirjale.
Lugupidamisega
(allkirjastatud digitaalselt)
Mart Võrklaev
rahandusminister
Lisad:
1. Eelnõu
2. Seletuskiri
3. Märkuste tabel (lisa 2)
Lisaadressaadid:
Meie 15.04.2024 nr 1.1-10.1/1285-2
2
Ministeeriumid
Finantsinspektsioon
Riigi Infosüsteemide Amet
Eesti Pank
FinanceEstonia MTÜ
Eesti Pangaliit MTÜ
Eesti Kindlustusseltside Liit
Eesti Kindlustusmaaklerite Liit
Eesti Hoiu-laenuühistute Liit MTÜ
Nasdaq Tallinna Börss
Nasdaq CSD SE Eesti filiaal
Eesti Kaubandus-Tööstuskoda
Eesti Väike- ja Keskmiste Ettevõtjate Assotsiatsioon MTÜ
Eesti Infotehnoloogia ja Telekommunikatsiooni Liit
Kristiina Kubja 5885 1398
Finantsinspektsiooni seaduse ning teise seaduste muutmise seadus
Seletuskiri
Lisa 2
MÄRKUSTE TABEL
Justiitsministeerium II Märkused 1–4
Justiitsministeerium I Märkused 1–3
Majandus- ja kommunikatsiooniministeerium Märkused 4–17
Riigikantselei Märkused 18 ja 19
Finantsinspektsioon Märkused 20–28
Pangaliit Märkused 29–32
FinanceEstonia Märkused 33–35
Eesti Kaubandus- Tööstuskoda Märkused 36 ja 37
Nr. Ettepaneku sisu
Arvestatu/
Mitte
arvestatud/
Selgitatud
Rahandusministeeriumi seisukoht
JUSTIITSMINISTEERIUM II kooskõlastusring
1.
JuM
Eelnõu § 4 punkti 9, § 5 punkti 14, § 7 punkti 8, § 8
punkti 22, § 9 punkti 6 ja § 10 punkti 24 kohaselt
avalikustab Finantsinspektsioon oma veebilehel
Euroopa Parlamendi ja nõukogu määruses (EL)
2022/2554 sätestatud kohustuse rikkumise eest
väärteoasjas tehtud lahendi sama määruse artiklis
54 sätestatu kohaselt. Kuivõrd viidatud artikli järgi
käsitletakse „halduskaristuste“ avaldamisena
üksnes väärteoasjas tehtud lahendeid, palume
seletuskirjas selgitada või viidata, kas ja mille alusel
avalikustatakse Finantsinspektsiooni rikkumise
kõrvaldamiseks tehtud ettekirjutused või muud
haldusaktid.
Arvestatud Seletuskirja on täiendatud.
2. Eelnõu § 7 punktiga 11 ja § 10 punktiga 28
sätestatakse aegumise erand. Kordame varem
tehtud märkust osas, milles palusime selgitada,
miks peab olema kooskõlastamiseks esitatud
eelnõus olevate väärtegude aegumistähtaeg kolm
aastat. Seletuskirja lisas „Märkuste tabel“
viidatakse vastusena märkusele, et
Justiitsministeerium on juhtinud karistusseadustiku
muutmise ja sellega seonduvalt teiste seaduste
muutmise seaduse teise lugemise seletuskirjas
tähelepanu asjaolule, et arvestades osade
valdkondade eripära, võib senisest suuremate
trahvide korral olla põhjendatud ka pikemate
aegumistähtaegade sätestamine. Selgitame, et me ei
ole pikema aegumistähtaja vastu, kuid palume
selgitada, miks on see kõnesoleval juhul vajalik.
Palume eelnõu seletuskirja vastava selgitusega
täiendada.
Arvestatud Seletuskirja on täiendatud.
3. Eelnõu § 8 punktiga 16 täiendatakse makseasutuste
ja e-raha asutuste seaduse § 52 lõikega 14, mis
reguleerib Finantsinspektsiooni õigust
ümberkujundamisloa andmisest keelduda. Viidatud
lõike punkti 3 kohaselt võib ümberkujundamisloa
andmisest keelduda mh juhul, kui
Arvestatud Seletuskirja on täiendatud.
2
ümberkujundamine võib muul põhjusel kahjustada
makseasutuse või e-raha asutuse klientide huve ning
sama lõike punkti 4 järgi siis, kui esineb muu
oluline alus ümberkujundamist mitte lubada.
Seletuskirjas (lk 42) on küll selgitatud, mis võib olla
punktis 4 nimetatud „muu oluline alus“, kuid
põhjendused punkti 3 kohase „muu põhjuse“ kohta
puuduvad. Palume lisada selgitus ja näited, mis
võivad olla „muudeks põhjusteks“, mis juhul võib
Finantsinspektsioon ümberkujundamisloa
andmisest keelduda.
4. Palume lisaks arvestada käesoleva kirja lisas
esitatud eelnõu failis jäljega tehtud märkuste ja
keelemärkustega.
JUSTIITSMINISTEERIUM I kooskõlastusring
1.
JuM
1. Eelnõu § 7 punktiga 11 ja § 9 punktiga 9
muudetakse olemasolevate sätete asukohta.
Viidatud sätete sisuks on väärteo aegumise erisus
üldisest aegumise tähtajast (mis on
karistusseadustiku § 81 lõike 3 kohaselt kaks
aastat). Justiitsministeerium ei toeta eraldi aegumise
paragrahvi sätestamist. Aegumise erand tuleb
sätestada menetluse paragrahvis. Sel juhul on see
kooskõlas teistes eriseadustes ettenähtud
regulatsiooniga, nt riigihangete seaduse § 216
lõikega 2, maksukorralduse seaduse §-ga 162.
Samuti puuduvad seletuskirjas täpsemad selgitused,
miks peab olema kooskõlastamiseks esitatud
eelnõus olevate väärtegude aegumistähtaeg kolm
aastat. Palume seletuskirja lisada vastav põhjendus.
Arvestatud/
Selgitatud
Eelnõusse on lisatud muudatused, mille kohaselt
väärtegude aegumissätted on tõstetud menetluse
paragrahvi.
Samas juhime tähelepanu, et eelnõuga ei nähta ette
ühetegi uut väärtegude aegumist reguleerivat normi ja
kõik aegumistähtajaga seotud muudatused eelnõus on
normitehnilised, st nii KAS-is, EVKS-is kui ka VpTS-
is on juba kehtiva õiguse kohaselt aegumistähtaeg
kolm aastat.
Finantssektori väärtegude aegumistähtajad nähti ette
finantsvaldkonna väärteokaristuste reformi raames
ning vastavate õigusnormide kohta on esitatud
selgitused vastava eelnõu seletuskirjas1.
Samuti on JuM juhtinud karistusseadustiku muutmise
ja sellega seonduvalt teiste seaduste muutmise
seaduse2 teise lugemise seletuskirjas juhtinud
tähelepanu asjaolule, et „Arvestades siiski teatud
valdkondade eripära, võib senisest suuremate
trahvide korral olla põhjendatud ka pikemate
aegumistähtaegade sätestamine. Nii näiteks on EL
määruse (EU) 468/2014 artikli 130 kohaselt Euroopa
Keskpanga poolt kohaldatavate trahvide korral
aegumistähtajaks 5 aastat. Kui krediidiasutus ei allu
Euroopa Keskpanga järelevalvele, oleks Eestis sama
rikkumise korral aegumistähtaeg põhjendamatult
lühem. Kehtiv KarS § 81 lg 3 näeb ette, et üldreeglina
on väärteo aegumistähtaeg 2 aastat ning seaduses
sätestatud juhtudel võib ette näha kolmeaastase
aegumistähtaja. Ettepaneku kohaselt jääks KarS § 81
lg 3 üldreegliks 2 aastat, kuid seaduses võib ette näha
ka kuni 5-aastase aegumistähtaja (so kolme-, nelja-
või viieaastase aegumistähtaja). Arvestades siiski, et
5-aastane aegumistähtaeg on ka teise astme kuriteo
aegumistähtajaks, peaks nii pikk aegumistähtaeg
väärtegude korral olema siiski erandlik.“.
Viidatud reformi raames otsustati mitte rakendada
maksimaalset (viieaastast) tähtaega, kuid tuginedes
1 https://www.riigikogu.ee/tegevus/eelnoud/eelnou/aece8f34-146c-41f6-b3fd-90402dfdd470/audiitortegevuse-seaduse-
finantskriisi-ennetamise-ja-lahendamise-seaduse-ning-teiste-seaduste-muutmise-seadus-finantsvaldkonna-vaarteokaristuste-
reform-eli-oigusest-tulenevad-karistused 2 https://www.riigikogu.ee/tegevus/eelnoud/eelnou/1bfa1944-2de6-449d-a788-887bc84cfd0f/karistusseadustiku-muutmise-
ja-sellega-seonduvalt-teiste-seaduste-muutmise-seadus-euroopa-liidu-oigusest-tulenevad-rahatrahvid
3
JuM selgitustele, oli põhjendatud näha ette
kolmeaastane tähtaeg.
2.
JuM
2. Eelnõu seletuskirjas (lk 26) kindlustustegevuse
seaduse § 138 muutmise selgituse juures on
asjakohane viide Euroopa Parlamendi ja nõukogu
direktiivile (EL) 2019/2121, millega muudetakse
direktiivi (EL) 2017/1132 seoses äriühingute
piiriülese ümberkujundamise, ühinemise ja
jagunemisega. Nimetatud direktiivi põhjenduspunkt
57 võimaldab finantssektori puhul direktiivist
erandeid teha, samas tuleb tähele panna, et
siseriiklikult kehtestatud erandid peavad olema
siiski seotud krediidivahendusettevõtjate ja teiste
finantsettevõtjate tegevust reguleerivate Euroopa
Liidu (EL) reeglite ja normidega. Seetõttu palume
eelnõu seletuskirjas täpsemalt välja tuua, millise
EL-i regulatsiooni alusel erandid kehtestatakse.
Palume lisada vastavad selgitused ka
väärtpaberituru seaduse ning makseasutuste ja e-
raha seaduse vastavate muudatuste juurde.
Arvestatud Seletuskirja on täiendatud.
3.
JuM
3. Palume lisaks arvestada käesoleva kirja lisades
esitatud eelnõu ja seletuskirja failis jäljega tehtud
normitehniliste ja keelemärkustega ning
märkustega eelnõu mõju kohta.
Arvestatud
MAJANDUS- JA KOMMUNIKATSIOONIMINISTEERIUM
4. 1. Kübervaldkonnas järelevalve korraldus Eelnõu kohaselt määratakse Euroopa Parlamendi ja
nõukogu määruse (EL) 2022/2554 ehk DORA
määruse artikkel 46 mõttes pädevaks asutuseks
Finantsinspektsioon (FI), millest tulenevalt hakkab
finantssektori küberturvalisuse nõuete üle
järelevalvet teostama samuti FI.
Leiame, et eelnõu seletuskirjas ei ole ammendavalt
põhjendatud, miks ei oleks võimalik järelevalve
pädevust DORA määrusest tulenevate IKT
riskijuhtimise nõuete täitmise üle anda Riigi
Infosüsteemi Ametile (RIA) ning näeme valitud
lahenduses mitmeid olulisi puuduseid.
Seetõttu esitame ettepaneku kaaluda täiendavalt
DORA määruses ettenähtud IKT-riski juhtimise
meetmete alase järelevalve pädevuse andmist
RIAle ja sellest tulenevalt:
1) sätestada küberturvalisuse seaduses (edaspidi:
KüTS), et DORA määruses kehtestatud IKTriski
juhtimise nõuete üle teostab järelevalvet RIA;
2) muuta eelnõu § 2 punkti 1, millega muudetakse
finantsinspektsiooni seadust (edaspidi: FIS) ja
millega täiendatakse paragrahvi 6 lõiget 1 punktiga
75 ja §-i 4, millega lisatakse §-ga 4711 vastavalt
ettepanekule, et DORA määruses kehtestatud IKT-
riski juhtimise nõuete täitmise järelevalve jääb
RIAle;
3) sätestada investeerimisfondide seaduses,
kindlustustegevuse seaduses, krediidiasutuste
seaduses (KAS), makseasutuste ja e-raha asutuste
seaduses ning väärtpaberite registri pidamise
Mitte
arvestatud
DORA määruse artikkel 46 annab selge normi, et
DORA määruse kohane pädev asutus on sama
asutus, kes on määratud riigis finantsasutuse üle
finantsjärelevalvet teostama. Eestis on riiklikuks
finantsjärelevalve asutuseks Finantsinspektsioon ja
oluliste krediidiasutuste korral Euroopa Keskpank.
Seega ei ole tegemist DORA määrusest tuleneva
liikmesriigi valikukohaga, keda määrata DORA
pädevaks asutuseks, vaid otsekohalduvast määrusest
tuleneva asjaoluga, et pädev asutus on sama asutus,
kes on finantsjärelevalveasutus. Seega tähendaks
finantssektoris muu pädeva asutuse määramine
finantsjärelevalve ümberkorraldamist Eestist.
Vaata täiendavaid selgitusi seletuskirja punkti 2.3.2
alampunktis E.
Nõustume, et RIA-s on parim küberturbe kompetents,
kuid ka Finantsinspektsioon on aastaid teostanud
finantssektoris järelevalvet selle üle, kuidas
finantsasutused järgivad Finantsinspektsiooni
kehtestatud nõudeid finantsjärelevalve subjekti
infotehnoloogia ja infoturbe korraldusele, nõudeid
finantsjärelevalve subjekti talitluspidevuse
korraldusele, EBA suuniseid IKT- ja turvariskide
juhtimiseks ning EIOPA info- ja
kommunikatsioonitehnoloogia turbe- ja
juhtimissuuniseid ja pilveteenuse osutajatele tegevuse
edasiandmise suunised. Rääkimata riskijuhtimise
(operatsiooniriski) ja tegevuste edasiandmise
järelevalvest üldisemalt.
4
seaduses (EVKS), et RIAl on õigus teostada
järelevalvet DORA määruses sätestatu täitmise üle,
sealhulgas teha DORA määruse artiklis 50
sätestatud järelevalvetoiminguid ning rakendada
karistusi ja muid meetmeid (ehk muuta eelnõus
ettenähtud sarnase sõnastusega sätteid, mis
annavad vastava pädevuse FIle);
4) muuta teisi asjasse puutuvaid eelnõu sätteid.
Seletuskirjas on välja toodud, et selleks, et anda
DORA pädeva asutuse roll osaliselt RIA-le, tuleb
RIA määratleda (kaas)pädeva asutusena ka kõikide
DORA määruse artiklis 46 loetletud finantssektori
Euroopa Liidu direktiivide ja määruste tähenduses
ning selline lähenemine tooks mh kaasa nt
osamaksete tasumise kohustuse. Sellega kogu
põhjendus piirdub ning ei ole välja toodud, millised
olid need arutluskäigud, millega taoline variant
pädevuse jagamiseks kõrvale jäeti, millised on need
„rida kohustusi“ ja kas need ka konkreetselt DORA
määrusest tuleneva pädevuse degeleerimisel
kindlasti RIAle kohalduksid.
RIA on väljendanud varasemaltki soovi jääda riigis
küberpädevust omavaks asutuseks ning teinud
ettepaneku pädevuse jagamiseks.
Puudub põhjendus, mis välistab osaliselt
järelevalve pädevuse edasi delegeerimist.
Muudatus eeldab küberturbe kompetentsi tagamist
FIs. Siinkohal tuleb arvesse võtta, et vastava
kompetentsiga isikute hulk Eesti töörutul on
piiratud. Küberturbe järelevalve võimekuse
loomine mitmesse asutusse tähendab täiendavat
konkurentsi tööjõu suhtes erasektori kõrval.
Eestis on seni küberturbe tagamisel lähtutud
tsentraliseeritud mudelist, vastava suuna on heaks
kiitnud ka Vabariigi Valitsuse Julgeolekukomisjoni
Küberjulgeoleku Nõukogu. Kuigi mitmetes
Euroopa Liidu riikides on küberturbe tagamine ja
järelevalve jaotatud sektoriaalsete asutuste vahel, ei
ole see Eesti väiksust ja ressursi piiratust arvestades
asjakohane. Samuti ei ole selline tegevus kooskõlas
null-eelarve põhimõtetega, mille raames otsitakse
võimalusi ülesannete dubleerimise vältimiseks
avalikus sektoris. Laiahaardelise ja efektiivse
küberturvalisuse tagamiseks on oluline, et RIAl
oleks terviklik pilt kõikidest küberturbe riskidest
üle sektorite. Arvestades finantsasutuste vastu
suunatud intsidentide rohkust ning mõju, on
tegemist eriti olulise sektoriga riigi üldise
küberturvalisuse tagamisel.
Eelnõuga ettenähtud koostöö RIAga ning
finantsasutuste teavitamine olulistest
küberintsidentidest ei taga piisavat ülevaadet, et
efektiivselt läbi viia nii ennetus- ja
analüüsitegevusi kui operatiivselt toetada
intsidentide lahendamist.
Finantssektor on terviklik, mida tuleb vaadelda
kompaktselt, mis tähendab, et ka järelevalve on
terviklik ja kompaktne. Esitame näite (seletuskirja kl
12 ja 13 on näiteid rohkem). Krediidiasutuste
direktiivis on sätestatud „Finantsinstitutsioonidel
peab olema kindel äriühingu juhtimise korraldus,
mis hõlmab selget organisatsioonilist ülesehitust,
mille puhul vastutusalad on selgesti määratletud,
läbipaistvad ja järjepidevad, tõhusaid protseduure
riskide või võimalike riskide kindlaksmääramiseks,
juhtimiseks, jälgimiseks ja nendest teatamiseks,
piisavat sisekontrollikorda, sealhulgas usaldusväärne
juhtimis- ja raamatupidamiskord, võrgu- ja
infosüsteeme, mis on loodud ja mida hallatakse
kooskõlas määrusega (EL) 2022/2554, ning
tasustamispoliitikat ja -tavasid, mis on kooskõlas
usaldusväärse ja tõhusa riskijuhtimisega ja edendavad
seda.“ Näite kohaselt ei oleks FI-l võimalik teostada
krediidiasutuse juhtimise korralduse üle terviklikku
järelevalvet, jättes järelevalvest välja võrgu- ja
infosüsteemide järelevalve.
Finantsinspektsioon on mh alustanud oma
küberkompetentsi suurendamisega (täiendavate
ekspertide kaasamine).
5
Lisaks tuleb arvestada, et DORA määrus sätestab
erinormid vaid teatud Euroopa Parlamendi ja
nõukogu direktiivi (EL) 2022/2555 ehk NIS2
direktiiviga üle võetavate kohustuste osas ning
samuti rakenduksid vähemalt osadele
finantsasutustele ka Eesti-spetsiifilised nõuded (vt
siinse kooskõlastuse punkte 3 ja 9). Nende nõuete
osas jääks järelevalvepädevus siiski RIAle. Seega
oleks otstarbekas jätta pädevus ühte asutusse, kes
saab kõikehõlmavalt teha järelevalvet nii DORA
määruse nõuete kui ka sealt väljajäävate, kuid
muudes õigusaktides (peamiselt KüTSis) sätestatud
nõuete täitmise üle.
Oleme koos RIAga valmis siinset ettepanekut
täiendavalt arutama ning mainime, et järgnevad
ettepanekud on tehtud sõltumata siinse ettepaneku
sisust.
5.
MKM
2. Euroopa Parlamendi ja nõukogu määruse
(EL) 2022/2554 ehk DORA määruse valikukoht
nr 3
Seletuskirja lk 11 (DORA määruse valikukoht nr 3
selgitus, viimane tekstilõik) on märgitud:
Eelnõu väljatöötamisel oli kaalumisel ka variant, et
kui hoiu-laenuühistud jätta DORA määruse
kohaldamisalast välja, siis alternatiivina oleks
võimalik neile ka KüTS küberturvalisuse nõudeid
kohaldada ja RIA oleks sellisel juhul pädevaks
asutuseks. Kuna hoiu-laenuühistute seaduseelnõu
menetlus on hetkel veel pooleli, siis hetkel on
võetud lähenemine, et sõltuvalt menetluse seisust ja
tulemusest seoses viidatud eelnõuga, tehakse
otsused ka selles osas, mis puudutab hoiu-
laenuühistutele küberturvalisuse nõuete
kohaldamist.
Siin juhime tähelepanu Euroopa Parlamendi ja
nõukogu direktiivi (EL) 2022/2555 ehk NIS2
direktiivi artikli 2 lõikele 10, mis sätestab:
Käesolevat direktiivi ei kohaldata üksuste suhtes,
mille liikmesriigid on kooskõlas määruse (EL)
2022/2554 artikli 2 lõikega 4 kõnealuse määruse
kohaldamisalast välja jätnud.
Sisuliselt on NIS2 direktiivi kohaldamisalast
välistatud Eesti puhul hoiu-laenuühistud. Seetõttu
soovitame üle hinnata, kas DORA määruse
valikukoht nr 3 tulemus jääb samaks või mitte. Kui
valikukoht muutub, siis tuleb ka seletuskirja muud
osad üle vaadata (nt seletuskirja lk-l 13 olev tabel
ja eelnõu § 3 sisu ning selgitus).
Selgitatud Hoiu-laenuühistutele DORA nõudeid ei kohaldata,
kuid kui hoiu-laenuühistute seaduseelnõu jõustumisel
kohalduvad ühistupankadele mh krediidiasutuste
seaduse sätted, siis see tähendab ühtlasi nende suhtes
DORA nõuete kohaldamist ja Finantsinspektsiooni
järelevalve alla kuulumist.
6.
MKM
3. NIS2 direktiivi järgimine
Seletuskirja lk-l 15 on tabel, mille üks tulp on ka
NIS2 direktiivi kohta. Tolles tabelis on
krediidiasutuste ja finantsturutaristute real
märgitud NIS2 direktiivi artikli 4 lõigete 1 ja 2 sisu
ehk loetelu teemadest, mida need isikud ei pea
NIS2 direktiivi puhul järgima.
Samas ei ole seal välja toodud, millised võivad olla
NIS2 direktiivi sätted, mida peaksid need ettevõtjad
NIS2 direktiivi artiklite 2 ja 3, koosmõjus NIS2
direktiivi artikli 4 lõigete 1 ning 2, tõttu järgima.
Esmasel analüüsil tundub, et nendeks säteteks
võivad olla NIS2 direktiivi artikkel 9, artikkel 14
Arvestatud Seletuskirja on täiendatud. Samas juhime tähelepanu,
et tegemist on suuresti riigi ja pädevate asutuste suhtes
kohalduvate nõuetega ning vähesemal määral
nõuetega, mida ettevõtjad peavad lisaks DORA-le
järgima.
6
lõige 3, artikkel 16, artikli 24 lõige 1, artikkel 29 ja
artikkel 30. Kaudselt on kohaldamisala mõttes siin
seotud ka NIS2 direktiivi artiklid 7, 9, 10 ja 16.
Lisaks on liikmesriikidel võimalik (mitte kohustus)
kohaldada nende isikute suhtes ka NIS2 direktiivi
artikli 3 lõike 3 tõttu ka artiklit 27.
Siin soovitame tutvuda ka Euroopa Komisjoni
18.9.2023 teatisega „Komisjoni suunised direktiivi
(EL) 2022/2555 (küberturvalisuse 2. direktiiv)
artikli 4 lõigete 1 ja 2 kohaldamise kohta 2023/C
328/02“ – leitav siit: https://eur-
lex.europa.eu/legal-
content/ET/TXT/?uri=CELEX:52023XC0918(01).
2.5. Eeltoodu tõttu palume seletuskirja täiendada
eelmainitud sätetega.
7.
MKM
4. Riigi Infosüsteemi Ameti teavitamine tõsisest
info- ja kommunikatsioonitehnoloogiaga seotud
intsidendist ning olulisest küberohust
Eelnõu tekitab mitmes seaduses kohustuse
teavitada tõsisest info- ja
kommunikatsioonitehnoloogiaga seotud
intsidendist ning olulisest küberohust muu hulgas
ka Riigi Infosüsteemi Ametit (edaspidi: RIA).
Nendeks muudatusteks on eelnõu § 4 punkt 7,
eelnõu § 5 punktid 6, 8 ja 9, eelnõu § 7 punkt 5,
eelnõu § 8 punkt 16, eelnõu § 9 punkt 3, eelnõu §
10 punktid 11, 13, 19 ning 20.
Enamus isikutest, kes neid kohustusi eelnõu
tulemusena peavad hakkama täitma, pole
varasemalt pidanud RIA-le neid teavitusi
kohustuslikus korras tegema. Sellest hoolimata
toetame nende muudatuste tegemist, kuna samad
või sarnased küberintsidendid ja -ohud võivad aset
leida või ilmneda ka muudes valdkondades ning
RIA saab sel juhul aegsasti tegeleda nende
ennetamise ja lahendamisega.
Teadmiseks
võetud
8.
MKM
5. Planeeritava finantskriisi ennetamise ja
lahendamise seaduse (edaspidi: FELS) § 29 lg 1
punkti 8 osas soovitame hinnata, kas eelnõuga
planeeritava FELS § 29 lg 1 punkti 8 muudatuses
peaks DORA määruse asemel olema viide
küberturvalisuse seadusele (edaspidi: KüTS). Seda
ennekõike seetõttu, et NIS2 direktiiviga ei muutu
„võrgu- ja infosüsteemi“ mõiste ning hetkel on
selle mõiste sisu üle võetud KüTS § 2 punktis 1.
Arvestatud FELS § 29 lõike 1 punktis 8 on DORA viide
asendatud viitega KüTS § 2 punktile 1.
9.
MKM
6. Planeeritav finantsinspektsiooni seaduse
(edaspidi: FIS) § 4711
FIS § 4711 lg 1 punkti 2 kohaselt hõlmab
Finantsinspektsiooni (edaspidi: FI) ja RIA vaheline
koostöö muu hulgas RIA-lt tehnilise nõu ja abi
küsimine ning FI-le selle andmine […].
Me pole üldiselt vastu tolles punktis raamistatud
koostööle, kuid tekib küsitavus, kas FI kohta käivas
seaduses on võimalik tekitada RIA-le kohustusi (vt
allajoonitud osa) kui FIS ei reguleeri RIA
ülesandeid ja toimimist.
Arvestatud
10.
MKM
7. Planeeritav FIS § 54 lg 4 punkt 12
Toetame FIS § 54 lõike 4 täiendamist punktiga 12
ning selgitame, et NIS2 direktiivi üle võtvasse
Selgitatud Käesoleva eelnõu raames me ei näe vajadust FIS § 54
lõike 4 täiendamiseks.
7
eelnõusse kavandatakse koostöösäte DORA
määruse pädevate asutustega.
Täiendavalt soovitame hinnata, kas FIS § 54 lõiget
4 tuleks täiendada ka kontrollimisandmete
edastamisega Andmekaitse Inspektsioonile.
11.
MKM
8. Ebatäpsused FIS §-ga 542
Juhime tähelepanu, et eelnõu § 2 punktiga 6
täiendatakse FIS § 542 lõikega 4, kuid seletuskirjas
tolle lõike kohta ei ole selgitusi esitatud. Samuti on
seletuskirjas (lk 20) toodud selgitus FIS § 544
täiendamise kohta lõikega 41, kuid eelnõus sellist
lõiget pole.
Arvestatud Seletuskirjas on asendatud lõige 41 lõikega 4.
12.
MKM
9. KüTS-i nõuete kohaldumine
krediidiasutustele
Eelnõu § 7 punktiga 4 lisandub krediidiasutuste
seadusesse (edaspidi: KAS) § 824, mille lõike 3
kavandatava sõnastuse kohaselt ei kohaldata
krediidiasutustele KüTS-i 2. peatükis sätestatud
küberturvalisuse tagamise nõudeid. Eelnõus on ka
märkus, et õige viide selgub kooskõlas NIS2
direktiivi üle võtmisega, millised KüTS-i sätted
pankadele ei kohaldu.
Nõustume põhjendusega selles osas, et DORA
määrus toimib NIS2 direktiivi suhtes lex
specialis’ena ja sealsed nõuded katavad ära NIS2
direktiivis esitatavad nõuded küberturvalisuse
riskijuhtimisele ja küberintsidentidest
teavitamisele. Samas näiteks sisaldab KüTS-i
alusel kinnitatud Eesti infoturbestandard ehk E-ITS
tingimusi ja nõudeid, mis on Eesti spetsiifilised
ning mida ei kata ei NIS2 direktiiv ega DORA
määrus – näiteks eID ja X-tee. Seetõttu peaks
tulevikus olema olukord, kus finantsvaldkonna
ettevõtjad üldiselt peavad järgima vaid DORA
määruse nõudeid, kuid kui mingis osas DORA
määrus (sh selle alusel kehtestatud rakendusaktid)
KüTS-i alusel kehtestatud Eesti spetsiifilisi
nõudeid ära ei kata, siis tuleb täita ka neid.
Nõustume sellega, et NIS2 direktiivi üle võtvas
eelnõus saab täpsustada, millised KüTS-i 2. peatüki
sätted kohalduvad või ei kohaldu. Selle käigus
selgub ka, millised NIS2 sätted kohalduvad ka
DORA määruse subjektidele – vt siin eespool
olevat märkust nr 2. NIS2 direktiivi üle võtvas
eelnõus saab ka määratleda, millal KüTS-is
sätestatud erisused hakkavad kehtima (vt siin ka
eelnõu seletuskirja lk 30 alguses olevat selgitust).
Siinse muudatusega seonduvalt on Pangaliit enda
07.12.2023 tagasisides eelnõule esitanud ka
ettepaneku Vabariigi Valitsuse 9.12.2022 määruse
nr 121 „Võrgu- ja infosüsteemide küberturvalisuse
nõuded“ § 3 täiendamisega lõikega 4, mis välistaks
E-ITSi ja selle vabatahtliku alternatiivi
(rahvusvahelise standardi ISO/IEC 27001)
kohaldumise ettevõtjatele, kes on DORA määruse
kohaldamisalas. Leiame, et see ettepanek on
asjakohane, kuid kavandatava KAS § 824 lõike 3
sõnastusest sõltub, kas on vaja teha Pangaliidu
Selgitatud Meie hinnangul ei pruugi olla DORA määrusega
kooskõlas lähenemine, et ettevõtjaid kohustatakse
järgima konkreetseid standardeid. Näiteks DORA
drafti kohaselt peaksid ettevõtjad võtma arvesse
juhtivaid tavasid ja vajaduse korral asjakohaseid
rahvusvahelisi standardeid, kui töötavad välja ja
rakendavad järjepidevaid ja ajakohaseid IKT-
turbepoliitikaid, mis toetavad DORA nõuetele
vastavuse tagamist (ehk see on jäetud paindlikuks).
DORA nõuetele vastavuse tõendamiseks on
soovitatud finantsasutustel rakendada ISO/IEC
27001 standardit (RTS-ide väljatöötamisel on mh
võetud arvesse viidatud standardit ja nagu eespool
osutatud, on ka viidatud rahvusvahelistele
standarditele).
Juhime tähelepanu, et KüTS § 7 lõikes 5 sätestatud
volitusnorm on kehtiva sõnastuse kohaselt ette nähtud
samas paragrahvis ehk §-s 7 sätestatud kohustuste
täitmise ja süsteemide küberturvalisuse tagamiseks.
Kuna DORA kohaldamisalasse kuuluvatele
finantsasutusele ei kohaldata §-i 7, siis ei kohaldu
neile ka viidatud standardid.
Ka võrgu- ja infosüsteemide küberturvalisuse nõuete
määruse kohaselt ei ole teenuse osutaja kohustatud
rakendama Eesti infoturbestandardit, kui tema
turvameetmed vastavad rahvusvahelise standardiga
ISO/IEC 27001 kehtestatud nõuetele ja tal on selleks
sertifikaat. Seega meie arusaamise järgi ei ole ka
kehtiva õiguse kohaselt nad kohustatud rakendama
lisaks rahvusvahelise standardile Eesti spetsiifilisi
nõudeid.
Kui MKM hinnangul on asjakohane kohaldada
finantsasutustele täiendavaid (mitte dubleerivaid), sh
Eesti spetsiifilisi nõudeid, saame omapoolse
seisukoha kujundada pärast tutvumist vastavate
muudatusettepanekutega.
8
ettepanekus tehtud muudatust eelnimetaud
Vabariigi Valitsuse määruses. Seda ennekõike
seetõttu, et kui KAS § 824 lõike 3 tõttu välistatakse
muuhulgas DORA määruse subjektide puhul KüTS
§ 7 lõige 5, siis sellise välistuse korral puudub
vajadus teha Vabariigi Valitsuse määrusesse KAS-
i tehtud nõuet kordav õigusnorm.
13.
MKM
10. Eelnõu § 7 punkti 10 puhul pole otseselt selge
eelnõust ega seletuskirjas, millisesse KAS-i
peatükki soovitakse taaskehtestada eelnõu § 7
punktiga 9 kehtetuks tunnistatavate paragrahvide
sisu. Eelduslikult on tegemist 12. peatükiga.
Selgitatud Vastav täpsustus (viide peatükile 12) lisatakse punkti
11, mis loob eelduse, et ka sellele eelnevad
paragrahvid on peatükis 12.
14.
MKM
11. Info- ja kommunikatsioonitehnoloogia
süsteem
Eelnõu § 8 punkti 13 ning eelnõu § 10 punkti 7 osas
soovitame hinnata, kas siin on võimalik sõnade
„info- ja kommunikatsioonitehnoloogia süsteem“
asemel kasutada KüTS § 2 punktis 1 olevat terminit
„võrgu- ja infosüsteem“. Eelnõu § 8 punktis 13
soovitakse neid sõnu kasutada sõna „infosüsteem“
asemel.
Palume ka üle vaadata seletuskirja terminoloogia
osa (lk 45), kuna seal on viidatud „võrgu- ja
infosüsteemi“ mõiste puhul ainult NIS2 direktiivis
sätestatud mõistele. Siin vt ka eespool olevat
märkust nr 4.
Selgitatud Eelnõu puhul on otsustatud jääda DORA direktiivis
kasutatava terminoloogia juurde. Näiteks asendatakse
MERAS direktiivis termin „infosüsteem“ terminiga
„info- ja kommunikatsioonitehnoloogia süsteem“.
Sama on MiFID2 direktiivi terminoloogiaga.
15.
MKM
12. Eelnõu § 9 punktis 1 ehk väärtpaberite
registri pidamise seaduse (EVKS) § 71 lõike 5
esimese lause muudatuses on RIA nimetus
nurksulgudes.
Arvestatud Nurksulud on kustutatud.
16.
MKM
13. Pensioniregister
EVKS reguleerib penisoniregistri pidamist ning
eelnõu seletuskirja lk 37 (lõpus) kohaselt kohaldub
registripidajale „DORA määruse turvastandard“.
Eelnõu seletuskirjas on EVKS § 302 lõike 2
selgitustes mainitud, miks registripidajale ei
kohaldu KüTS-i 2. peatükk.
EVKS § 13 lõike 1 kohaselt on pensioniregister riigi
infosüsteemi kuuluv andmekogu
kogumispensionide seaduses sätestatud
kohustuslike ja vabatahtlike pensionifondide
osakute ning nendega tehtavate toimingute
registreerimiseks. Seetõttu on pensioniregister
praegu KüTS-i kohaldamisalas sama seaduse § 3 lg
4 punkti 1 tõttu. Samas saame aru, et eelnõuga
soovitakse tekitada olukord, kus pensioniregistri
pidaja (vastutav töötleja ja volitatud töötleja)
kohaldaks DORA määruse nõudeid.
Seetõttu soovitame hinnata, kas eelnõu § 9 punkt 3
(EVKS täiendamine §-ga 302) on piisav, et
seletuskirjas toodud olukord saavutada. Ehk tuleb
hinnata, kas eelnõud tuleb siin täiendada, tehes
EVKS-is täiendavad sätted või kas alternatiivina
tuleks teha täiendav säte KüTS §-s 3. Oleme valmis
arutama, et kas see muudatus võiks olla NIS2
direktiivi üle võtvas eelnõus – selleks palume
ühendust võtta siinse vastuse koostajaga.
Selgitatud Eelnõu on muudetud ja pensioniregistrile ei hakata
kohaldama DORA määruse nõudeid ning neile jäävad
kohalduma KüTS nõuded.
9
Kui leiate, et eelnõuga kavandatavad sätted on
piisavad, siis palume EVKS § 302 lõike 2
sõnastamisel lähtuda kavandatava KAS § 824 lõike
3 sõnastusest, sh vt ka eespool olevat märkust nr 8.
17.
MKM
14. Väärtpaberituru seaduse muudatused
NIS2 direktiivi subjektide hulka on hõlmatud
finantsturutaristust Euroopa Parlamendi ja
nõukogu direktiivi 2014/65/EL artikli 4 punktis 24
määratletud kauplemiskohtade korraldajad ning
Euroopa Parlamendi ja nõukogu määruse (EL) nr
648/2012 artikli 2 punktis 1 määratletud kesksed
vastaspooled (vt NIS2 direktiivi lisa I punkti 4).
Väärtpaberituru seadus (edaspidi: VpTS)
reguleerib muu hulgas ka kauplemiskohtade
korraldajate ning kesksete vastaspoolte tegevust.
Eeldame, et tegemist on samade
ettevõtjatega/isikutega, mis on nimetatud eelmises
alapunktis.
Eeltoodu tõttu soovitame hinnata, kas eelnõud on
vaja täiendada sättega nagu on planeeritud KAS §-
i 824. Siin vt ka eespool olevat märkust nr 8.
Arvestatud Korraldaja puhul on eelnõusse lisatud täpsustus, et
tema suhtes ei kohaldata KüTS 2. peatükis sätestatud
küberturvalisuse nõudeid.
RIIGIKANTSELEI
18.
RK
1. Eelnõu seletuskirja lk-del 14-15 on esitatud
eksitav CER direktiivi[1] tõlgendus. Seletuskirjas
viidatakse CER direktiivi põhjenduspunktile nr 21
ning selgitatakse, et kuna finantssektori ettevõtjate
toimepidevus on põhjalikult hõlmatud DORA
regulatsiooniga[2], ei tuleks selliste ettevõtjate
suhtes kohaldada CER direktiivi artiklit 11 ning
III, IV ja VI peatükki, et vältida dubleerimist ja
ebavajalikku halduskoormust. Vaatamata sellele
peaksid liikmesriigid CER direktiiviga ette nähtud
kriteeriumide põhjal ja selles sätestatud menetlust
kohaldades identifitseerima sellised finantssektori
ettevõtjad elutähtsa teenuse osutajana ning
kohaldama nende suhtes CER direktiivi II peatükis
sätestatud strateegiaid, liikmesriigi riskianalüüse ja
toetusmeetmeid.
Seletuskirjas on jäetud täies ulatuses
arvestamata direktiivi artiklites sätestatuga. CER direktiivi artikli 3 kohaselt ei takista CER
direktiiv liikmesriike elutähtsa teenuse osutajate
suurema toimepidevuse saavutamiseks vastu
võtmast või säilitamast oma õigusnorme, kui
sellised õigusnormid on kooskõlas liikmesriikide
liidu õiguses sätestatud kohustustega. Artiklis 8 on
omakorda sätestatud, et liikmesriigid tagavad, et
artiklit 11 ning III, IV ja VI peatükki ei kohaldata
elutähtsa teenuse osutajate suhtes, kelle nad on
Arvestatud Seletuskirja on lisatud täpsustus, et liikmesriigid võivad
vastu võtta või säilitada liikmesriigi õigusnormid,
millega saavutada kõnealuste elutähtsa teenuse osutajate
toimepidevuse kõrgem tase, tingimusel et need
õigusnormid on kooskõlas kohaldatavate liidu
õigusenormidega.
[1] Euroopa Parlamendi ja nõukogu direktiiv (EL) 2022/2557, mis käsitleb elutähtsa teenuse osutajate toimepidevust ja millega
tunnistatakse kehtetuks nõukogu direktiiv 2008/114/EÜ. [2] Euroopa Parlamendi ja nõukogu määruses (EL) 2022/2554, mis käsitleb finantssektori digitaalset tegevuskerksust ning
millega muudetakse määrusi (EÜ) nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011
(DORA määrus) ja -Euroopa Parlamendi ja nõukogu direktiivis (EL) 2022/25562, millega muudetakse direktiive 2009/65/EÜ,
2009/138/EÜ, 2011/61/EL, 2013/36/EL, 2014/59/EL, 2014/65/EL, (EL) 2015/2366 ja (EL) 2016/2341 seoses finantssektori
digitaalse tegevuskerksusega (DORA direktiiv).
10
identifitseerinud lisa tabeli punktides 3, 4 ja 8
esitatud sektorites. Sama artikli teine lause aga
täpsustab, et liikmesriigid võivad vastu võtta või
säilitada liikmesriigi õigusnormid, millega
saavutada kõnealuste elutähtsa teenuse
osutajate toimepidevuse kõrgem tase,
tingimusel et need õigusnormid on kooskõlas
kohaldatavate liidu õigusenormidega.
Sellest tulenevalt ei ole CER direktiivi artikli 11
ning peatükkide III, IV ja VI välistamine
DORA subjektide suhtes imperatiivne, vaid
liikmesriigi enda valik.
Seletuskirjas on õigesti märgitud, et Riigikantselei
on CER direktiivi ülevõtmiseks välja töötanud
hädaolukorra seaduse ja teiste seaduste muutmise
seaduse eelnõu[3] (HOS CER eelnõu). Nimetatud
eelnõu väljatöötamisel on analüüsitud CER
direktiivi ülevõtmise võimalused ning on jõutud
järelduseni, et on mõistlik säilitada Eesti
olemasolevat elutähtsate teenuste regulatsiooni ja
integreerida CER direktiivist tulenvaid muudatusi
olemasolevasse regulatsiooni. Seda siis ka
elutähtsa teenuse osutajatest krediidiasutuste
suhtes.
Juhime ka tähelepanu sellele, et nii DORA
regulatsioonid kui ka NIS2[4] direktiiv
keskenduvad IKT riskidele ja küberturvalisusele.
CER direktiiv on oluliselt laiem ning keskendub
elutähtsate teenuste toimepidevusele tervikuna
ning seega ei ole DORA ja NIS2 sellega
samaväärsed.
Oluline on panna tähele ka seda, et CER kohaselt
on elutähtsa teenuse osutajate krediidiasutuste
pädevaks asutusteks on lisaks
Finantsinspektsioonile ja Euroopa Keskpangale ka
Eesti Pank elutähtsa teenuse toimepidevust
korraldava asutusena.
Eelnevast tulenevalt palume asendada seletuskirjas
toodud selgitusi, sh leheküljel 15 esitatud tabelis
toodu CER direktiivi kohta eespool toodud
selgitustega.
19.
RK
Krediidiasutuste seadust täiendatakse §-ga 4711,
mis reguleerib koostööd küberturvalisuse
valdkonnas. Paragrahvi 4711 lõike 1 punkti 3
kohaselt hõlmab koostöö Finantsinspektsiooni ja
Riigi Infosüsteemi Amet teabe vahetamist asutuste
vahel, sealhulgas küberintsidentide ja küberohtude
kohta ning küsimustes, mis puudutavad
elutähtsaid krediidiasutusi ja kauplemiskohti.
Arvestatud Märkuse puhul on ilmselt mõeldud Finantsinspektsiooni
seaduse muutmist, mitte krediidiasutuste seaduse
muutmist.
Oleme eelnõus täpsustanud, et mõeldud on
finantsjärelevalve subjekte, kes on elutähtsa teenuse
osutajad.
[3] https://eelnoud.valitsus.ee/main/mount/docList/ad7af8cd-617c-45f3-b850-78ad002f6a3a. [4] Euroopa Parlamendi ja nõukogu direktiiv (EL) 2022/2555, mis käsitleb meetmeid, millega tagada
küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi
(EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148.
11
Jääb ebaselgeks, mida mõeldakse elutähtsate
krediidiasutuste all. NIS2 eristab elutähtsaid (lisa
I) ja olulisi üksuseid (lisa II). Kas tegemist on
elutähtsate üksustega NIS2 mõistes või soovitakse
hoopis piirduda elutähtsa teenuse osutajatest
krediidiasutustele? Elutähtsa teenuste osutajate
ring on väga piiratud, elutähtsate üksuste ring NIS2
mõistes laiem. Palun täpsustada seda asjaolu ning
vajadusel täiendada eelnõu ja seletuskiri.
FINANTSINSPEKTSIOON
Eelnõu ettepanekud
20.
FI
1. Euroopa järelevalveasutused (ESA-d) on välja
töötamas tehnilisi standardeid intsidentidest ja
küberohtudest teavitamise kohta, mis esitatakse
Euroopa Komisjonile hiljemalt 17.07.2024
(DORA määruse artikkel 20). Tehnilised
standardid võivad kehtestada andmete esitamise
formaadid, mida subjektid peavad kasutama FI-le
andmeid edastades. FI hinnangul tuleb täiendada
Eelnõu sätteid intsidentidest ja küberohtudest
teavitamise puhul selliselt, et FI-l oleks vajadusel
võimalik kehtestada andmete esitamiseks kindel
formaat (sarnaselt näiteks MiCA tehniliste
standartide eelnõu artiklile 41: „Issuers shall
submit the information referred to in this
Regulation in the data exchange formats and
representations specified by the competent
authorities and respecting the data point definition
of the data point model and the validation formulae
stated in Annex V and the following
specifications…“). Sellest tulenevalt teeme
järgmised ettepanekud:
Selgitatud Vt kommentaari märkuse nr 20 juures.
21.
FI
a) Täiendada Eelnõu § 4 punkti 7, millega
täiendatakse investeerimisfondide seadust
(edaspidi IFS) §- ga 3451 , lisades IFS § 3451 lõike
1 lõppu lause: „Finantsinspektsioon võib määrata
tõsisest info- ja kommunikatsioonitehnoloogiaga
seotud intsidendist teavitamise formaadi.“
Samasisulise muudatuse palume teha Eelnõu § 5
punktis 6 (kindlustustegevuse seaduse (edaspidi
KindlTS) § 1051 lõige 1), § 7 punktis 5
(krediidiasutuse seaduse (edaspidi KAS) § 923
lõige 1), § 8 punktis 16 (makseasutuste ja e-raha
asutuste seaduse (edaspidi MERAS) § 636 lõige 6),
§ 9 punkti 3 (väärtpaberite registri pidamise
seaduse (edaspidi EVKS) § 302 lõige 3), § 10
punktis 11 (väärtpaberituru seaduse (edaspidi
VPTS) § 8218 lõige 1).
Selgitatud Märkuses on ettepanek, et Finantsinspektsioon võib
määrata tõsisest IKT-ga seotud intsidendist teavitamise
formaadi. Juhime tähelepanu DORA määruse ITS
draftile, mille kohaselt teave esitatakse DORA vorme
kasutades ning pädev asutus määrab
andmevahetusvormingu ja esitusviisi3. Meie hinnangul
ei ole valikuline formaadi määramine kooskõlas DORA
regulatsiooniga.
Art 8 – 1. Financial entities shall submit the information
referred to in this Regulation in the data exchange
formats and representations specified by competent
authorities and respecting the data point definition of the
data point model and the validation formulas specified
in Annex V as well as the following specifications: ….
Samuti on artiklis 4 täpsustus, et 1. Financial entities
shall use secure electronic channels to submitting
intimal notification and intermediate and final reports as
agreed with the competent authorities.
3 https://www.eiopa.europa.eu/system/files/2023-12/JC%202023%2070%20-
%20%20CP%20on%20draft%20RTS%20and%20ITS%20on%20major%20incident%20reporting%20under%20DORA.pdf
12
22.
FI
b) Täiendada Eelnõu § 4 punkti 7, lisades IFS §
3451 lõike 3 lõppu lause: „Finantsinspektsioon
võib määrata olulisest küberohust teavitamisel
andmete esitamise formaadi.“ Samasisulise
muudatuse palume teha Eelnõu § 5 punktis 6
(KindlTS § 1051 lõige 3), § 7 punktis 5 (KAS § 923
lõige 3), § 8 punktis 16 (MERAS § 636 lõige 8),
EVKS § 302 lõige 5), § 10 punktis 11 (VPTS § 8218
lõige).
Selgitatud Vt selgitust märkuse nr 21 juures.
23.
FI
2. Riigisiseselt on tehtud valik mitte kohaldada
DORA määrust hoiu-laenuühistule, sest
õiguslikult ei ole hoiu-laenuühistud hetkel
finantsjärelevalve subjektid. Käesoleva Eelnõuga
samaaegselt on menetluses hoiu-laenuühistute
seaduse ja sellega seonduvalt teiste seaduste
muutmise seaduse eelnõu, mille lõplikust sisust
sõltub, kuidas näha ette digitaalse tegevuskerksuse
nõuete rakendamine ka hoiulaenuühistutele.
Hetkel kehtiv KAS § 38 sätestab et ühistupankade
tegutsemisel kohaldatakse hoiulaenuühistu kohta
sätestatut, kui KAS-st ei tulene teisiti. Eelnõu §-iga
3 täiendatakse hoiu-laenuühistu seadust §-iga 2 1 ,
mille kohaselt hoiu-laenuühistule DORA määrust
ei kohaldata, mistõttu on selle valguses võimalik
ka tõlgendus, et DORA määruse nõuded
ühistupankadele ei kohaldu. Selleks, et tagada
õigusselgust, tuleb KAS-s selgelt sätestada, et
DORA määrus kohaldub ka ühistupankadele. Kui
hoiu-laenuühistud tulevad FI järelevalve alla
ühistupankade vormis, siis pakutud täienduse
alusel hakkab neile ka DORA määrus kohalduma.
Selgitatud HLÜS eelnõus olev säte (KAS § 38 muutmine)
„Ühistupanga asutamisel, tegutsemisel ja lõpetamisel
kohaldatakse käesolevas seaduses (ehk KAS-is)
sätestatut käesolevas peatükis toodud erisustega“ tagab,
et ühistupanga tegutsemisele kohaldatakse mh DORA
nõudeid, kuivõrd need on hõlmatud KAS uute §-dega
824 ja 923.
24.
FI
3. Juhime tähelepanu, et Eelnõuga täiendatakse
väärteokoosseise eriseadustes, kuid karistused on
seal alternatiivsed – „karistatakse rahatrahviga
kuni 5 000 000 eurot või kuni kahekordse väärteo
tulemusel teenitud kasule või ära hoitud kahjule
vastavas summas“ ja juriidilise isiku puhul
„karistatakse rahatrahviga kuni 5 000 000 eurot või
kuni kahekordse väärteo tulemusel teenitud kasule
või ära hoitud kahjule vastavas summas või kuni
kümme protsenti juriidilise isiku või tema
konsolideerimisgrupi konsolideeritud käibest“.
Eelnõuga ei ole sätestatud juhiseid ega
kriteeriume, mille alusel peab FI eeltoodud
alternatiive kaaluma. Lisaks rõhutame uuesti, et
väärteomenetlus pole tõhus menetlusvorm
finantsõiguse rikkumiste menetlemiseks.
Selgitatud Kuna DORA nõuded integreeritakse DORA direktiiviga
finantssektori liidu õigusaktidesse, siis ka eriseadustes
vastavate paragrahvide sõnastamisel on lähtutud
asjaolust, et karistused peavad olema kooskõlas EL
õigusega. Vt näiteid ka märkuse nr 36 juures.
Täiendavad ettepanekud
25.
FI
4. Kuivõrd Eelnõuga muudetakse enamikke
Finantsinspektsiooni seaduse § 2 lõikes 2
nimetatud eriseadusi, siis palume IFS-i, KindlTS-
i, KAVS-i, KAS-i, MERAS-esse ja VPTS-i sisse
viia muudatused kohapealse kontrolli sätetes, mille
kohta oleme ettepanekud edastanud
Rahandusministeeriumile 08.05.2023 kirjaga nr 5-
1/2654. Täpsemad põhjendused leiab samuti
nimetatud kirjast.
Mitte
arvestatud
Muudatusi analüüsitakse ja nähakse ette muu
finantssektori eelnõuga.
26.
FI
5. Teeme ettepaneku muuta MERAS-e järgmisi
sätteid:
Arvestatud
13
a) MERAS § 17 lõige 5 sätestab, et FI võib jätta
tegevusloa taotluse läbi vaatamata, kui taotleja ei
ole kõrvaldanud puudusi ettenähtud tähtaja jooksul
või ei ole esitanud tähtpäevaks nõutud andmeid ja
dokumente. Soovime laiendada läbi vaatamata
jätmise võimalust ka olukorrale, kus taotlus on
esitatud oluliste puudustega. Meie ettepanek on
muuta MERAS § 17 lõiget 5 järgmiselt: „(5) Kui
taotleja ei ole kõrvaldanud käesoleva paragrahvi
lõikes 1 nimetatud puudusi ettenähtud tähtaja
jooksul või ei ole tähtpäevaks esitanud
Finantsinspektsiooni nõutud andmeid või
dokumente või taotlus on esitatud oluliste
puudustega, võib Finantsinspektsioon jätta
tegevusloa taotluse läbi vaatamata.“.
27.
FI
b) MERAS § 24 lõige 3. FI hinnangul on MERAS-
e sätted, mis puudutavad piiriüleselt makseteenuse
osutamist kolmandas riigis, ebaselged ja
puudulikud, mistõttu on Finantsinspektsioonil
takistatud nende taotluste menetlemine, kus
taotleja soovib piiriüleseid makseteenuseid
osutada kolmandas riigis (näiteks Suurbritannia ja
Põhja-Iirimaa Ühendkuningriigis). MERAS § 24
lõike 3 kohaselt kohaldatakse Eesti makseasutuse
ja e-raha asutuse poolt kolmandas riigis teenuste
osutamisele MERAS §-des 25-28, § 29 lõigetes 1,
2, 8 ja 10 ning § 92 lõigetes 11 ja 12 sätestatut.
Käesoleval juhul on asjakohane üksnes § 29 lõiked
1, 2, 8 ja 10. Nimetatud sätetest ükski ei viita
sellele, mida FI talle esitatud teabega tegema peab.
MERAS § 29 lõike 8 teine lause viitab läbi lõike 6
punkti 1 justkui, et FI peab heakskiidu andma, aga
samas nimetatud heakskiidu aluseks on MERAS §
29 lõike 6 kohaselt „sihtriigi finantsjärelevalve
asutuse hinnang“. Nimetatud sihtriigi
finantsjärelevalve asutuse hinnangu saamine
eeldab siiski MERAS § 29 lõikes 3 nimetatud
tegevusi. Sellisel juhul oleks vajalik MERAS § 24
lõike 3 viidete täiendamine. Vastav täiendus
kõrvaldaks ka puuduse menetlustähtaja osas, mida
käesoleval juhul sätestatud ei ole.
Probleemseks peame ka seda, et kolmandas riigis
piiriüleselt teenuste osutamise avalduse osas ei ole
FI-le jäetud MERAS § 29 lõike 5 kohast
dokumentide edastamise keeldumisõigust.
Kokkuvõtvalt soovime piiriüleste makseteenuste
osutamise avalduste osas kolmandas riigis
selgemat reeglistikku, mis ei pea olema üks-ühele
lepinguriigi sätetega, aga võiks sisaldada
olulisemat, st FI ülesanne, menetlustähtaeg,
keeldumisalused jms. Seejuures ei peaks eeltoodud
olukorras menetlus olema n-ö kahe-etapiline
(lepinguriigi osas teeb FI sisuliselt kaks otsust
MERAS § 29 lõiked 3 ja 6), vaid FI teeb
samaaegselt otsuse andmete ja dokumentide
edastamise ning nimekirja kandmise kohta.
Arvestatud MERAS § 24 lõiget 3 on muudetud ja sama paragrahvi
on täiendatud uue lõikega 41.
14
28.
FI
c) MERAS § 44 lõike 1 punktis 3 on viide
paragrahvile 54, kuid õige oleks viide §-le 39.
Palume nimetatud viide parandada.
Arvestatud
PANGALIIT
29.
EPL
1. Ettepanekud seoses CER direktiiviga
Eelnõu seletuskirjas on korrektselt viidatud, et
lisaks NIS2 direktiivile mõjutab DORA ka CER
direktiivi kehtivusala (vt SK p 2.5., lk 14-16).
Samas ei ole aga eelnõus rakendussätteid, mis
toetaks eelnimetatu rakendamist krediidiasutuste
suhtes õigusaktide tasandil. Alltoodud
ettepanekud põhinevad kättesaadaval
informatsioonil, et nii hädaolukorra seaduse
muudatused kui ka uue tsiviilkriisi ja riigikaitse
seaduse eelnõu sätted ei näe krediidiasutustele ette
erisusi võrreldes teiste elutähtsate teenuste
osutajatega (ETO). Samuti, et Eesti Pank jätkab
finantsteenuste osas elutähtsa teenuse korraldava
asutuse (ETKA) rolli.
Selgitatud Märkus on seotud CER direktiivi ülevõtmise
menetlusega, mille vastutavaks asutuseks on
Riigikantselei.
30.
EPL
2. Koostöö elutähtsate teenuste toimivuse
valdkonnas
Teeme ettepaneku lisada Finantsinspektsiooni
seadusesse koostöö kohta Eesti Panga ja
Riigikantseleiga analoogne lisandus nagu Eelnõus
pakutud § 47.11. Nimelt kehtiv ja meie andmetel
ka jätkuv lahendus on, et finantsteenuste osas on
ETKA-ks Eesti Pank ning üldiseks kriisideks
valmistumise korraldajaks Riigikantselei,
järelevalve teostajaks pankade üle aga
Finantsinspektsioon.
Koostöö nimetatud asutuste vahel, eelkõige aga ka
info vahetamine, on sellise lahenduse efektiivse
toimimise võtmeküsimus. Senine praktika on
siinkohal näidanud vajakajäämisi, mis mh on
krediidiasutustele kaasa toonud täiendava
halduskoormuse sama teabe topelt esitamise
kohustuse tõttu. Kindlasti võivad sellised
vajakajäämised mõjutada ka üldist kriisijuhtimise
kvaliteeti riigi tasandil.
Selgitatud Märgime, et ettepanek kuulub HOS eelnõu skoopi, mis
reguleerib elutähtsate teenuste toimivust ja koostööd
vastavate asutuste vahel. HOS eelnõu vastutavaks
asutuseks on Riigikantselei.
Juhime tähelepanu, et FIS-is on juba olemas
Finantsinspektsiooni ja Eesti Panga koostöö kokkulepet
reguleeriv säte. § 50 kohaselt võib Inspektsioon sõlmida
kahe- või mitmepoolse kokkuleppe koostöö
korraldamiseks Eesti Panga, Rahandusministeeriumi
või muu riigiasutusega, kui selline koostöö on vajalik, et
aidata kaasa finantsjärelevalve eesmärgi saavutamisele.
Inspektsioon, Rahandusministeerium ja Eesti Pank
teevad kirjaliku kokkuleppe alusel koostööd aruannete
kogumisel ja analüüsimisel, õigusaktide eelnõude
väljatöötamisel ning kriisilahendusmeetmete või -
õiguste kavandamisel ja rakendamisel ning teabe
vahetamisel finantssektori olukorda oluliselt mõjutavate
sündmuste korral.
31.
EPL
3. Krediidiasutuste seaduse nõuded
operatsiooniriski juhtimisele
Teeme ettepaneku lisada krediidiasutuste
seadusesse analoogne lisandus nagu Eelnõus
pakutud § 82.4 lg 3, kuid seda seoses hädaolukorra
seaduse / tsiviilkriisi ja riigikaitse seaduse teatud
sätete mitterakendamisega ETO-pankadele.
Ettepaneku ajendiks on CER põhjenduspunkt 21 ja
artikkel 8 ning DORA preambula punktid 19, 22 ja
23 ning artikkel 1 p 2. Oleme esitanud analoogse
ettepaneku ka Riigikantseleile, kelle vastutusalas
on hädaolukorra seaduse / tsiviilkriisi ja riigikaitse
seaduse kujundamine selliselt, et see vastaks CER
direktiivi nõuetele. Nõustume, et seoses kriisideks
ettevalmistamise vajadusega on vajalik
krediidiasutuste kaasamine
ettevalmistustegevustesse. Kuid nagu ka CER-s ja
DORA-s sätestatud, tuleks seda teha ebavajalikku
Selgitatud CER direktiivi rakendamine on Riigikantselei
vastutusalas. Riigikantselei on osutanud, et CER
direktiivi artikli 8 lõike 1 teine lause ütleb, et
liikmesriigid võivad vastu võtta või säilitada
liikmesriigi õigusnormid, millega saavutada kõnealuste
elutähtsa teenuse osutajate toimepidevuse kõrgem tase.
15
halduskoormust vältides. Oleme valmis
täiendavalt kaasa mõtlema, kuidas seda saavutada
kõige efektiivsemal moel.
32.
EPL
1. Ettepanek VV määruse nr 121 „Võrgu- ja
infosüsteemide küberturvalisuse nõuded“ (VVm)
muutmiseks
Täna kohaldub VVm nr 121 ka finantssektori
ettevõtjatele. DORA ja VVm nr 121 koosmõjul
kohalduks Eestis tegutsevatele finantssektori
ettevõtjatele küberturvalisuse valdkonnas kaks
vastavuskohustust ning kaks järelevalvet teostavat
asutust. Palun viia VVm kooskõlla Eelnõuga,
määruse (EL) 2022/2554 ning direktiiviga (EL)
2022/2555) välistamaks finantssektorile
kaasnevad riskid, tarbetu kordus ja täiendav
halduskoormus. Üheks võimalikuks lahenduseks
võib olla VVm nr 121 täiendamine §-i 3 lõikega 4
järgmises sõnastuses: „(4) määruse (EL)
2022/2554) kohaldamisalasse kuuluvatele
ettevõtjatele ei kohaldata lõike 1 ja lõike 2 alusel
kehtestatud nõudeid.
1.1. Finantssektori ettevõtjatele kohalduvad
eriseadusest tulenevad küberturvalisuse nõuded
VVm nr 121 näeb ette, et teenuse osutaja tõendab
oma süsteemi turvameetmete vastavust
järelevalveasutusele rakendades E-ITS-i või
alternatiivselt ISO/IEC 27001 standardile
vastavaid turvameetmeid ning esitab seejuures ka
kehtiva ISO/IEC 27001 vastavussertifikaadi.
VVm nr 121 on kehtestatud küberturvalisuse
seaduse (KüTS) alusel, mis omakorda kehtestab
NIS ja NIS2-s nõutud turvameetmete rakendamise
ja küberintsidentidest teavitamise nõuded olulise
teenuse ja digitaalse teenuse osutajatele. Määrus
(EL) 2022/2554 (DORA) on finantssektori
ettevõtjatele kohalduv eriseadus, mis kehtestab
spetsiifilised küberturvalisuse nõuded. Direktiivi
(EL) 2022/2555 (NIS2) ei kohaldata finantssektori
ettevõtjate suhtes ulatuses, mida reguleerib
DORA. NIS2 põhjenduspunkti 28 kohaselt tuleb
DORA-t käsitada finantssektori ettevõtjate suhtes
valdkondliku liidu õigusaktina. NIS2 artikli 4
kohaselt ei tuleks kohaldada finantssektori
ettevõtjate suhtes NIS2-st tulenevaid sätteid (sh nt
järelevalve- ja täitmise tagamise sätteid), kuna
need nähakse ette valdkondlikes õigusaktides.
DORA põhjenduspunkti 16 kohaselt kehtestatakse
DORA-ga finantssektori ettevõtjate suhtes
rangemad nõuded võrreldes NIS2-ga. Seega tuleb
DORA-t käsitleda finantssektori ettevõtjate suhtes
valdkondliku liidu õigusaktina ning mitte
kohaldada finantssektori ettevõtjate suhtes NIS2-
e.
Eelnõu peatükk 2.5 möönab, et liikmesriigid ei
tohiks kohaldada NIS2 direktiivi sätteid, mis
käsitlevad küberturvalisuse riskijuhtimist ja
teatamiskohustust, järelevalvet ja täitmise
tagamist DORA määruse kohaldamisalasse
jäävate finantssektori ettevõtjate suhtes. Eelnõu
märgib, et Finantsinspektsioon (FI) ja Euroopa
Keskpank (EKP) on pädevateks asutusteks
Selgitatud Kuna eelnõu kohaselt ei kohaldata krediidiasutustele
küberturvalisuse seaduse 2. peatükis sätestatud
küberturvalisuse tagamise nõudeid, tähendab see
ühtlasi, et krediidiasutustele ei kohaldata seaduse §-i 7,
mille lõikes 5 on volitusnorm viidatud määrusele.
Volitusnorm on ette nähtud §-s 7 sätestatud kohustuste
täitmise ja süsteemide küberturvalisuse tagamiseks.
Seega, kuna krediidiasutustele ei kohaldata §-i 7, ei ole
asjakohane ka määruse kohaldamine.
Lisaks on eelnõusse lisatud õigusselguse tagamiseks
muudatus, millega välistatakse ka hädaolukorra seaduse
§ 41 lõike 1 kohaldamine, milles on viited
küberturvalisuse seaduse § 7 ja 8 kohaldamisele.
16
teostamaks krediidiasutuse ja finantsturutaristu
järelevalvet. Tõsistest IKT-intsidentidest
teavitatakse ka RIA-t. Koostöösätetega tagatakse,
et FI teeb RIA-ga koostööd, mh seoses
finantsasutuste ohuteabel põhinevate
läbistustestimistega. Eesti naaberriigid (Läti,
Leedu, Soome ja Rootsi) käsitlevad DORA’t
finantssektori ettevõtjate suhtes kehtiva
valdkondliku liidu õigusaktina. Naaberriigid ei
näe ette finantssektori ettevõtjatele kohustust
vastata, lisaks DORA-le siseriiklikule või
rahvusvahelisele infoturbestandardile, kuna
DORA sätestab rangemad ja ühtsed valdkondlikud
reeglid. Ühtlasi ei ole naaberriikides audiitorid ega
sertifitseerimisasutused pädevad kontrollima
finantssektori ettevõtjate vastavust DORA
nõuetele vaid on üheselt täheldanud, et selliste
ettevõtjate üle teostab järelevalvet DORA’s
sätestatud pädev asutus.
1.2. Täiendus välistab kaasuvad riskid, tarbetu
korduse ja halduskoormuse DORA
kohaldamisalasse jäävate finantssektori ettevõtjate
suhtes teostab järelevalvet vaid artikli 31 alusel
määratud järelevalveasutus vastavalt kehtestatud
korrale. Eestis on selliseks pädevaks asutuseks FI
ja oluliste krediidiasutuste osas EKP. Seevastu E-
ITS-i ja ISO/IEC 27001 kohaselt teostaks
järelevalvet RIA ja audiitor vastavalt E-ITS-is või
ISO/IEC kohaselt kehtestatud nõuetele.
Siseriikliku või rahvusvahelise infoturbestandardi
audiitor või sertifitseerimisasutus ei ole pädev
teostama järelevalvet finantssektori ettevõtjate üle
küberturvalisuse valdkonnas. Kohaldades E-ITS-i
või alternatiivselt ISO/IEC 27001 nõudeid DORA
kohaldamisalasse jäävate finantssektori ettevõtjate
suhtes, on finantssektori ettevõtjad kohustatud
üheaegselt ning ühest ja samast küberturvalisuse
aspektist lähtuvalt:
1.3. täitma valdkondliku liidu õigusakti DORA ja
samaaegselt ka E-ITS-i või ISO/IEC 27001
nõudeid;
1.4. osalema nii valdkondliku liidu õigusakti
DORA alusel kui ka E-ITS-i või ISO/IEC 27001
standardi alusel teostatavatel audititel;
1.5. esitama auditite järeldusotsuseid nii
valdkondliku liidu õigusakti DORA alusel
määratud juhtivale järelevalveüksusele kui ka
RIA-le.
Täiendavate nõuete ja järelevalve kohaldamine ei
taga tõhusamat nõuete täitmist, järelevalvet ega
vastutuse jaotust. See võib kaasa tuua täiendavad
riskid digitaalse tegevuskerksuse ja
küberturvalisuse tagamisel finantssektoris.
Dubleerivad nõuded pole kooskõlas hea halduse
põhimõttega. Teised Euroopa Liidu liikmesriigid
ei näe finantssektori ettevõtjatele ette sarnaseid
dubleerivaid nõudeid.
FINANCE_ESTONIA
17
33.
FE
Ebaselgus seoses halduskaristuste laienemisega
DORA määruse4 artikli 19 lg-s 2 toodud
vabatahtliku raporteerimiskohustuse
täitmatajätmisele.
DORA määruse artikkel 19 näeb tõsistest IKT
intsidentidest teavitamise kohustuse kõrval ette ka
finantssektori ettevõtjate poolt vabatahtlikult
olulistest küberohtudest teavitamise võimaluse.
Seejuures viitab määruse artikli 19 pealkiri, selle lg
2, samuti määruse asjaomased põhjenduspunktid
(24) ja üldsätted (sh artikli 1 lg 1 punkt a alapunkt
ii), ning ka eelnõu enese seletuskiri läbivalt sellele,
et küberohtudest teavitamine finantssektori
ettevõtjate poolt toimub vabatahtlikkuse alusel.
Kuigi eelnõu kohaselt ei plaanita asjaomase
teavitamisvõimaluse kajastamisel eri
finantssektori ettevõtjate tegevust reguleerivates
eriseadustes (nt nagu krediidiasustuste seadus,
investeerimisfondide seadus, kindlustustegevuse
seadus jne) viidata selgelt vabatahtlikkusele, vaid
teavitamise vabatahtlikkusele viidatakse
mõnevõrra kaudsema sõnastusega („kui
[asjaomane finantssektori ettevõtja] otsustab
Euroopa Parlamendi ja nõukogu määruse (EL)
2022/2554 artikli 19 lõike 2 kohaselt teavitada /---
/“), on määruse mõte ja seega peaks olema ka
eelnõu mõte sätestada olulistest küberohtudest
teavitamine just võimaluse ja mitte kohustusena.
Sellest hoolimata on erinevate finantssektori
ettevõtjate tegevust reguleerivate õigusaktide
vastutust reguleerivate sätete muudatused eelnõu
kohaselt kavandatud selliselt, et halduskaristusi
digitaalse tegevuskerksuse nõuete rikkumise eest
on võimalik kohaldada ka DORA määruse artikli
19 lg-s 2 toodud vabatahtlikkuse alusel täidetava
raporteerimiskohustuse mittetäitmise korral,
täpsemalt hõlmavad vastavad vastutuse sätted muu
hulgas DORA määruse artikli 19 lg-d 1-5 s.t ka lg-
s 2 sätestatud vabatahtliku teavitamisvõimaluse.
On arusaadav, et DORA määruse mõttega on enim
kooskõlas ning selle eesmärke aitab parimal
võimalikul määral saavutada olukord, kus määruse
nõuetega hõlmatud finantssektori ettevõtjad
teavitavad pädevat asutust ka DORA määruse
artikli 19 lg-s 2 nimetatud olulistest küberohtudest.
Teisalt näeb DORA määrus vastava teavitamise
(erinevalt olulistest IKT intsidentidest
teavitamisele) selgelt ette vabatahtlikuna, mistõttu
ei ole võrdväärsete halduskaristuste kohaldamise
võimaluse ettenägemine kõnealuse vabatahtliku
teavitamisvõimaluse mittekasutamise puhul
ebaloogiline ning ka ebaproportsionaalne.
Võimalik, et eelnõu ettevalmistajate eesmärgiks on
olnud võimaliku sanktsioneeritava kohustusena
määruse artikli 19 lg 2 kontekstis hõlmata vaid see,
Arvestatud Nõustume, et karistuste ulatusse ei peaks jääma
vabatahtlik teavitamiskohustus. Eelnõu on vastavalt
korrigeeritud.
4 Euroopa Parlamendi ja nõukogu määrus (EL) 2022/2554, mis käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse
määrusi (EÜ) nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011
18
kui asjaomane finantssektori ettevõtja teavitab
vabatahtlikult oluliselt küberohust
Finantsinspektsiooni, kuid jätab seejuures täitmata
kohustuse edastada teavitus ka Riigi
Infosüsteemide Ametile, siis kõnealusel juhul see
plaanitavate sätete sõnastusest ega ka seaduse
seletuskirjast meie hinnangul piisavalt selgelt välja
ei tule. Seetõttu soovitame kaaluda määruse artikli
19 lg-s 2 viidatud kohustuse välja jätmist
asjaomastest vastutuse sätetest või kajastada
vähemalt seaduse seletuskirjas selgelt, et vastavate
sätete eesmärgiks ei ole sanktsioneerida vastava
vabatahtliku raporteerimisvõimaluse
kasutamatajätmist. Vastasel korral ei ole antud
raporteerimisvõimalus sanktsiooni kohaldamise
võimaluse läbi vabatahtlik, vaid kohustuslik.
EESTI KINDLUSTUSSELTSIDE LIIT
34.
EKsL
1) KindlTS § 138. Kindlustusandja
ümberkujundamine
Paragrahvile soovitakse lisada uus lõige, mille
kohaselt ei ole kindlustusandjate piiriülene
ümberkujundamine lubatud. Piiriülene
ümberkujundamine tähendab, et Eesti äriühingu
saab ümber kujundada lepinguriigi äriühinguks.
Arvestades, et finantssektoris teenuse osutamiseks
peab isikul olema tegevusluba, mille ta saab
asukoha finantsjärelevalve asutuselt, ei ole
tarbijakaitse seisukohast asjakohane olukord, kus
kindlustusandja viib tegevuse ja
kindlustusportfelli üle teise lepinguriiki, kus tal
puudub vastava lepinguriigi finantsjärelevalve
asutuse luba selles riigis kindlustusteenuse
osutamiseks. Samas ei ole tal võimalik
tegevusluba taotleda, kui ta on alles Eesti
registrisse kuuluv äriühing. Seega
kindlustusvõtjate ja kindlustatute kaitse
seisukohast ei ole võimalik tagada, et piiriülese
ümberkujundamise korral oleks viidatud isikute
huvid piisavalt kaitstud. Alternatiiv on asutada
lepinguriigis uus kindlustusandja, kellega Eesti
kindlustusandja ühineb või kellele Eesti
kindlustusandja annab kindlustusportfelli üle.
Sellisteks olukordadeks näeb KindlTS ette ka
vastava regulatsiooni klientide kaitseks. Euroopa
Parlamendi ja Nõukogu Direktiiv (EL)
2019/2121, millega muudetakse direktiivi (EL)
2017/1132 seoses äriühingute piiriülese
ümberkujundamise, ühinemise ja jagunemisega
põhjenduspunkti 57 kohaselt ei tohiks viidatud
direktiiv mõjutada liidu õiguse kohaldamist, mis
reguleerib krediidivahendusettevõtjaid ja teisi
finantsettevõtjaid, ega vastavalt kõnealusele liidu
õigusele kehtestatud liikmesriigi õigusnormide
kohaldamist. Kindlustustegevust reguleeriva
Euroopa Parlamendi ja nõukogu direktiivi
2009/138/EÜ peaeesmärk on kindlustusvõtjate ja
soodustatud isikute asjakohane kaitse
(põhjenduspunkt 14). Seega on kindlustusandjate
piiriülese ümberkujundamise piirang kooskõlas
Selgitatud Eelnõusse on lisatud täpsustus, et keeldu ei kohaldata
Euroopa Äriühingust kindlustusandjate
ümberkujundamisele.
Nagu ka seletuskirjas on osutatud, ei ole meie
hinnangul Euroopa Liidu õigusega kooskõlas
lähenemine, mille kohaselt liigutakse
kindlustustegevusega teise lepinguriiki, omamata seal
tegevusluba. Kindlustusandjal ei ole võimalik omada
kahes riigis samaaegselt tegevusluba. Teise riiki
liikumisel tuleks Eesti tegevusluba kehtetuks
tunnistada, aga mis saab sellisel juhul
kindlustuslepingutest ja lepingutest tulenevate
kohustuste täitmisest? Tegevusluba ei liigu koos
äriühinguga automaatselt teise liikmesriiki.
19
eelnimetatud direktiivi põhimõttega, et tagada
tuleb kindlustusvõtjate ja soodustatud isikute
kaitse.
EKsL-i hinnangul ei ole lisatava kitsenduse
põhjus selge ja lisaks ei ole selge selle kitsenduse
kooskõla EU määruse nr 2157 /2001 ja Euroopa
Liidu Nõukogu määruse (EÜ) nr 2157/2001
«Euroopa äriühingu (SE) põhikirja kohta»
rakendamise seaduse nõuetega. Kindlustusandja
tegevuse üleviimisel teise lepinguriiki on
eelduslikult kaasatud mõlema lepinguriigi
järelevalveasutused, kes võivad portfelli
üleviimisele seada lisatingimusi/kõrvaltingimusi,
tagamaks kindlustusvõtjate kaitse uues
tegevuskohas vähemalt samaväärses ulatuses kui
seda oli endises ettevõtte asukohas. Võttes arvesse
eeltoodut jääb ebaselgeks lisatava kitsenduse
vajalikkus.
35. 2) KindlTS § 2571.
Digitaalse tegevuskerksuse nõuete rikkumine
Seadust soovitakse täiendada uue
karistusnormiga, mida Finantsinspektsioon saab
kohaldada DORA määruses sätestatud nõuete
rikkumise korral. Nimelt on DORA määruse
artikli 50 lõikes 3 sätestatud, et liikmesriigid
kehtestavad õigusnormid, milles sätestatakse
asjakohased halduskaristused ja
parandusmeetmed määruse rikkumise puhuks,
ning tagavad nende tulemusliku rakendamise.
Sama artikli lõikes 4 punktis c on sätestatud, et
liikmesriigid annavad pädevatele asutustele
õiguse võtta mis tahes liiki meetmeid, sealhulgas
rahalisi meetmeid, tagamaks, et finantssektori
ettevõtjad jätkavad õigusnormide järgimist.
Eelnõuga nähakse ette, et füüsilise isiku korral on
võimalik karistada rahatrahviga kuni 5 000 000
eurot või kuni kahekordse väärteo tulemusel
teenitud kasule või ära hoitud kahjule vastavas
summas ning juriidilise isiku korral karistatakse
rahatrahviga kuni 5 000 000 eurot või kuni
kahekordse väärteo tulemusel teenitud kasule või
ära hoitud kahjule vastavas summas või kuni
kümme protsenti juriidilise isiku või tema
konsolideerimisgrupi konsolideeritud käibest.
Uue planeeritava paragrahvi lõike 1 sõnastuses
on viidatud järgmistele DORA määruse nõuete
rikkumistele:
- art 5–14: IKT- riski juhtimine;
-art 16–18, art 19 lõiked 1–5: IKT intsidentide
haldamine ja liigitamine ning nendest
teavitamine;
- art 24, 25, art 27 lõiked 1–8: digitaalse
tegevuskerksuse testimine;
- art 28 lõiked 1–8, art 29, art 30 lõiked 1–4:
kolmandast isikust tuleneva IKT-riski juhtimine; -
Selgitatud Karistusmäärade kehtestamisel on lähtutud
finantssektorile kohalduvatest kehtivatest
karistusmääradest ja karistuse määramise alustest, mis
nähti ette finantsvaldkonna väärteokaristuse reformiga.
Siiski oli eelnõus ekslikult füüsilise isiku
karistusmääraks 5 000 000 eurot, kuid see peaks olema
700 000 eurot, et karistus oleks samaväärne §-s 257
sätestatud juhtimissüsteemi nõuete rikkumise
määradega ja selle määramise alustega.
Finantsvaldkonna väärteokaristuse reformi selgitused
on Riigikogu lehelt leitava eelnõu SE111 juures5.
Näiteks analüüsiti viidatud eelnõu koostamisel, kas
kõrgema ülemmääraga rahatrahvide kohaldamine oleks
põhjendatud ka KindlTS-s sätestatud kohustuse
rikkumise eest, mis otseselt EL õigusaktiga ette ei
nähta. Siinkohal kaaluti süüteo tagajärgede tõsidust,
mille järgi asuti seisukohale, et teatud juhtudel on
klientide huvide kaitse vajadus oluliselt suurem, kui
olemasolevast sanktsioonist eeldada võib. Sealjuures
võeti arvesse, et karistus oleks võrreldav samaväärse
rikkumise eest ette nähtud karistusmääraga teistes
finantsvaldkonna õigusaktides. Suur osa EL
õigusaktidest näevad ette finantsjärelevalve subjektide
tegevusnõete rikkumise eest kuni 5 miljoni euro
suuruse rahatrahvi. Seetõttu nähti ka kindlustusandjate
suhtes ette kohaldatav rahatrahv samas suurusjärgus.
Arvestades, et kindlustusandjad töötlevad mh kliendi
terviseandmeid, on äärmisel oluline, et nii klientide
teabevara kui ka finantsvara on kaitstud ja
kindlustusandja järgib selle tagamiseks nõuetekohaselt
digitaalse tegevuskerksuse nõudeid. Lisame siia
võrdluseks, et isikuandmete kaitse seaduse § 65
kohaselt on isikuandmete töötlemise nõuete rikkumise
eest rahatrahv 20 000 000 eurot.
5 https://www.riigikogu.ee/tegevus/eelnoud/eelnou/aece8f34-146c-41f6-b3fd-90402dfdd470/audiitortegevuse-seaduse-
finantskriisi-ennetamise-ja-lahendamise-seaduse-ning-teiste-seaduste-muutmise-seadus-finantsvaldkonna-vaarteokaristuste-
reform-eli-oigusest-tulenevad-karistused
20
art 42 lg 3: kolmanda isikuga seotud riskide
arvesse võtmine EKsL soovib teada, et miks just
selliseid trahvimäärasid peetakse tulemuslikeks,
proportsionaalseks ja hoiatavateks?
Kuidas suhestuvad antud karistusmäärad Euroopa
Liidu teiste liikmesriikide (sh Eesti lähiriikide)
poolt rakendatavatesse karistusmääradesse
samalaadsete tegude eest ja kuidas on hinnatud
vastavate karistusmäärade proportsionaalsust
Eesti kindlustusturu mahu suhtes?
Kuna DORA nõuded integreeritakse kehtivatesse liidu
õigusaktidesse, võib eeldada, et ka teistes
liikmesriikides ette nähtud karistusmäärad on
samaväärsed juba kehtivate määradega, mis on ette
nähtud juhtimissüsteemi nõuete rikkumise puhul.
EESTI KAUBANDUS-TÖÖSTUSKODA
36. Eelnõu § 4 p 10, § 5 p 14, § 7 p 10, § 8 p 19, § 9 p
8, § 10 p 24 kohaselt võib haldustrahv olla summas
kuni 5 000 000 eurot või kuni kahekordse väärteo
tulemusel teenitud kasule või ära hoitud kahjule
vastavas summas või kuni kümme protsenti
juriidilise isiku või tema konsolideerimisgrupi
konsolideeritud käibest. Füüsilise isiku puhul on
võimalik karistada rahatrahviga kuni 5 000 000
eurot või kuni kahekordse väärteo tulemusel
teenitud kasule või ära hoitud kahjule vastavas
summas.
Seega eelnõu koostajad on ette näinud mitmeid
alternatiivseid karistusi. Eelnõu ja seletuskirjaga
tutvudes ei hakanud silma juhiseid ega
kriteeriume, mille alusel järelevalveasutus
otsustab, millist karistust määrata. Näiteks jääb
ebaselgeks, millal määratakse rahatrahv 5 miljonit
eurot ja millal lähtutakse põhimõttest, et
haldustrahv võib olla kuni 10 % juriidilise isiku või
tema konsolideerimisgrupi konsolideeritud
käibest.
Leiame, et seletuskirja või eelnõu sätteid tuleks
selles osas täiendada, et oleks nii
järelevalveasutusele kui ka finantsasutusele
selgem, mille alusel otsustab järelevalveasutus,
millist trahvi määramise skeemi kasutada. Samuti
tekkis meil küsimus, kuidas eeltoodud
karistusmäärad suhestuvad Euroopa Liidu teiste
liikmesriikidega. Palume seletuskirja selles osas
täiendada ja täpsustada, et tekiks võrdlus Eesti ja
teiste liikmesriikide karistusmäärade osas.
Selgitatud Selgitame, et karistusnormide sätestamisel on lähtutud
kehtivatest finantssektori karistusmääradest ja karistuste
määramise alustest. Finantssektori karistusnormid on
suures osas reguleeritud liidu õiguses, kus on ette nähtud
analoogsed meetmed (alternatiivid) karistuse
rakendamiseks. Eelnõu eesmärk on näha ette ühetaoline
lähenemine, sh trahvimäärade osas. Kuna DORA
nõuded integreeritakse DORA direktiiviga vastavatesse
finantssektori õigusaktidesse, on ka eelnõu puhul
tagatud, et DORA nõuete rikkumise eest ette nähtud
karistused oleksid kooskõlas vastavates liidu
õigusaktides ette nähtud karistussätetega.
Näiteks VpTS uue paragrahvi puhul on võetud aluseks
direktiivi 2014/65/EL artikli 70 lõike 3 punkti a
alapunktid iv, v, xxvii ja xxviii ning lõike 6 punktid f–g.
DORA direktiivi kohaselt muudetakse 2014/65/EL
direktiivi artikleid 16 ja 17 ning 47 ja 48 nii, et sinna
lisatakse viited DORA nõuete rakendamisele. Kuna
direktiivi 2014/65/EL artikli 70 lõike 3 punkti a
alapunktid viitavad nende artiklite rikkumistele, hõlmab
see ühtlasi DORA nõuete rikkumist.
KAS uue paragrahvi puhul on võetud aluseks
2013/36/EL direktiivi artikli 67 lõike 1 punkt d ja lõike
2 punktid e–g. DORA direktiivi kohaselt muudetakse
2013/36/EL direktiivi artiklit 74 nii, et sinna lisatakse
viide DORA nõuete rakendamisele. Kuna 2013/36/EL
direktiivi artikli 66 lõike 1 punkt d viitab artikli 74
rikkumisele, hõlmab see ühtlasi DORA nõuete
rikkumist.
IFS uue paragrahvi puhul on võetud aluseks 2009/65/EÜ
direktiivi artikli 99 lõike 6 punktid e–g ja artikli 99a
punkt j. DORA direktiivi kohaselt muudetakse
2009/65/EÜ direktiivi artiklit 12 nii, et sinna lisatakse
viide DORA nõuete rakendamisele. Kuna 2009/65/EÜ
direktiivi artikli 99a punkt j viitab artikli 12 rikkumisele,
hõlmab see ühtlasi DORA nõuete rikkumist.
Seega on nö alternatiivsed karistused ette nähtud ka EL
õiguses. Näiteks võib fikseeritud rahatrahvimäär
osutuda vajalikuks olukorras, kus käibepõhiselt
arvutatav rahatrahv ei oleks rikkumise iseloomu ja
ulatust arvestades proportsionaalne, seda eelkõige juhul,
kui subjekt on tegutsenud alla aasta. Kehtiv FIS § 5
sätestab Finantsinspektsiooni tegevuse põhimõtted.
Selle lõige 2 näeb ette, et inspektsiooni
21
järelevalvetoimingute sagedus ja rakendatavad meetodid
arvestavad finantsjärelevalve subjekti suurust, tegevuse
mõju finantssüsteemile ning tegevuse laadi, ulatust ja
keerukust, lähtudes proportsionaalsuse põhimõttest.
Inspektsioon arvestab karistuse kohaldamisel riskide ja
võimaliku rikkumise iseloomu, kestust ja korduvust,
järelevalvesubjekti majanduslikku võimekust, tekkinud
või tekkida võinud kahjude suurust ning võimalikku
mõju finantssüsteemi stabiilsusele. Sisuliselt sätestab
antud säte proportsionaalsuse printsiibi, mis on
finantsjärelevalves üks peamistest põhimõtetest.
Märkuses on esitatud ka küsimus, kuidas karistusmäärad
suhestuvad Euroopa Liidu teiste liikmesriikidega. Nagu
eespool osutatud, on karistusmäärade aluseks EL õigus,
mistõttu võiks eeldada, et trahvimäärad ja nende
määramise alused on kooskõlas teiste liikmesriikide
karistustega.
37. Eelnõu § 4 p 7, § 5 p 6, § 7 p 5, § 8 p 16, § 9 p 3, §
10 p 11 ja p 19 tuleneb finantsasutustele kohustus
teavitada ühekordse edastamisviisiga nii
Finantsinspektsiooni kui ka Riigi Infosüsteemi
Ametit (RIA) tõsistest info- ja
kommunikatsioonitehnoloogiaga seotud
intsidentidest ning soovi korral olulistest
küberohtudest kasutades selleks sama
teavitusvormi. Eelnõu § 4 p 10, § 5 p 14, § 7 p 10,
§ 8 p 19, § 9 p 8 ning § 10 p 24 näevad ette, et kui
finantsasutus rikub eelnevalt nimetatud kohustust,
siis on järelevalveasutusel õigus kohaldada
rahatrahvi. Mõistame, et eelnõu ei näe ette
finantsasutuste karistamist olukorras, kus
finantsasutus ei teavita soovi korral olulistest
küberohtudest. Samas seletuskirjas ei ole seda
selgelt välja toodud.
Seega Kaubanduskoda palub eelnõu koostajatel
seletuskirja täiendada selliselt, et finantsasutust ei
karistata, kui ta ei täida eelnõu sätestatud võimalust
teavitada olulisest küberohust.
Arvestatud Kinnitame, et eelnõu eesmärk ei ole ette näha karistust
olulisest küberohust teavitamise nõuete rikkumise
korral, kuivõrd tegemist on ettevõtja valikuvabadusega
otsustada, kas ta edastab vastava teavituse FI-le ja RIA-
le või mitte. Selguse huvides on eelnõus vastutuse sätteid
korrigeeritud ja koosseisudest välja jäetud viide artikli
19 lõikele 2.
Seosed
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|---|---|---|---|---|---|
| Eelnõu kooskõlastamine märkustega | 29.12.2023 | 111 | 2-7/2023/4744 | Väljaminev kiri | mkm | Rahandusministeerium |
| Finantskriisi ennetamise ja lahendamise seaduse ning teiste seaduste muutmise seadus | 09.11.2023 | 161 | 2-7/2023/4744 | Sissetulev kiri | mkm | Rahandusministeerium |