Vastus

Tere!

Eelnõu kontekstis ei ole, kuid Euroopa Komisjon avaldas eile ühe NIS2 rakendusmääruse konsultatsioonid – vt: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14241-Cybersecurity-risk-management-reporting-obligations-for-digital-infrastructure-providers-and-ICT-service-managers_et

Lugupidamisega

Tere Raavo,

Kas lisaks alltoodule on veel uudiseid?

Tervitades

Alar Heikla

Siinses artiklis selgitame põgusalt NIS2 direktiivi, selle kohaldamisala ja üle võtmisega seotud asjaolusid Eestis ehk kuidas seda võidakse sisustada küberturvalisuse seaduses.

NIS2 direktiivi eesmärk

Esmalt toome meeldetuletuseks välja NIS2 direktiivi ametliku nimetus. Selleks on: Euroopa Parlamendi ja nõukogu direktiiv (EL) 2022/2555, 14. detsember 2022, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv). See on leitav siit: https://eur-lex.europa.eu/eli/dir/2022/2555/oj?locale=et. Artiklis kasutame lühendit NIS2 direktiiv.

NIS2 direktiiviga soovitakse adresseerida kehtiva direktiivi kitsaskohti ning digitaalsete lahenduste järjest suureneva kasutuselevõtuga kaasnevaid küberohte ja väljakutseid. NIS2 direktiivi eesmärk on saavutada küberturvalisuse ühtlaselt kõrge tase kogu liidus, et parandada siseturu toimimist. Selle eesmärgi saavutamiseks sätestatakse direktiivis:

a) liikmesriikide kohustus võtta vastu riiklikud küberturvalisuse strateegiad ning määrata või asutada pädevad asutused, küberkriisi juhtimise asutused, küberturbe ühtsed kontaktpunktid ja küberturbe intsidentide lahendamise üksused („CSIRTid“);
b) I või II lisas osutatud üksuste ning direktiivi (EL) 2022/2557 kohaselt elutähtsana käsitatavate üksuste küberturvalisuse riskijuhtimismeetmed ja teatamiskohustus;
c) küberturvalisuse alase teabevahetusega seotud reeglid ja kohustused;
d) järelevalve ja täitmise tagamisega seotud kohustused liikmesriikidele.

Esmalt tekib kohe kindlasti küsimus, et kellele NIS2 kohaldub ning kui see on selge, siis ka järgmise küsimusena, et mis on selle nõuded organisatsioonile, kes peab NIS2 direktiivi nõudeid järgima.

NIS2 direktiivi subjektid, sh nende sisu Eestis

Selgitame esimest küsimust ja sellega seotud vastust ehk toome põgusalt välja need organisatsioonid, kes tulevad NIS2 direktiivi kohaldamisalasse. NIS2 direktiivis nimetatakse neid organisatsioone kui “üksust”, mis on defineeritud NIS2 direktiivi artikli 6 punktis 38.

NIS2 direktiiv näeb ise ette üldreegli, et seda kohaldatakse direktiivi lisades I või II nimetatud üksuste suhtes, mis:
- kvalifitseeruvad soovituse 2003/361/EÜ lisa artikli 2 kohaselt keskmise suurusega ettevõtjateks või ületavad kõnealuse artikli lõikes 1 sätestatud keskmise suurusega ettevõtja piirmäärasid, ning
- osutavad teenuseid või tegutsevad ELis
Keskmise suurusega ettevõtja: miinimum 50 inimest ja kelle aasta bilansimaht või aastakäive ületab 10 miljonit eurot.

Arvestades NIS2 direktiivi lisasid I ja II, saame esmase analüüsi tulemuste põhjal välja tuua, et järgmised organisatsioonid saavad Eestis NIS2 direktiivi ehk küberturvalisuse seaduse subjektideks nn suuruse kriteeriumi järgi:

elektriettevõtja elektrituruseaduse tähenduses, kes tegeleb elektrienergia müügiga, kaasa arvatud edasimüügiga elektrienergia hulgimüüjale või lõpptarbijale; jaotusvõrguettevõtja elektrituruseaduse tähenduses; põhivõrguettevõtja elektrituruseaduse tähenduses; elektriettevõtja elektrituruseaduse tähenduses, kes tegeleb elektrienergia tootmisega; Euroopa Parlamendi ja nõukogu määruse (EL) 2019/943 artikli 2 punktis 8 määratletud määratud elektriturukorraldaja; Euroopa Parlamendi ja nõukogu määruse (EL) 2019/943 artikli 2 punktis 25 määratletud turuosaline, kes osutab elektrituruseaduse tähenduses agregeerimis-, tarbimiskaja- või elektrienergia salvestamise teenust; laadimispunkti käitaja elektrituruseaduse tähenduses, kes vastutab laadimispunkti haldamise ja käitamise eest, mis osutab lõppkasutajatele laadimisteenust, sealhulgas liikuvusteenuse osutaja nimel ja eest; kaugkütteseaduse tähenduses kaugkütte pakkuja ja kaugjahutuse pakkuja; nafta tootmise, rafineerimise ja töötlemise rajatiste ning hoiustamise ja ülekandmisega tegelevad operaatorid; maagaasi, sealhulgas veeldatud maagaasi müügiga, kaasa arvatud maagaasi hulgimüüjale, lõpptarbijale ja maagaasi ostvale gaasiettevõtjale edasimüügiga tegelev gaasiettevõtja maagaasiseaduse tähenduses; ettevõtja, kes täidab maagaasi jaotamise ülesannet ja on vastutav jaotussüsteemi kasutamise eest, tagades selle hoolduse ja vajadusel jaotussüsteemi ehitamise teatud paikkonnas, ning vajadusel gaasivõrgu vastastikuse ühendamise teiste võrkudega, ja kes tagab võrgu pikaajalise võime rahuldada mõistlikku nõudlust gaasi jaotamise järele; ettevõtja, kes täidab maagaasi ülekande ülesannet ja vastutab ülekandesüsteemi kasutamise eest, tagades selle hoolduse ning vajadusel ülekandesüsteemi ehitamise teatud paikkonnas, ja vajadusel gaasivõrkude vastastikuse ühendamise teiste võrkudega, ning kes tagab võrgu pikaajalise võime rahuldada mõistlikku nõudlust gaasi transportimise järele; hoidlate võrgu haldur maagaasiseaduse tähenduses; veeldatud gaasi terminali haldur maagaasiseaduse tähenduses; gaasiettevõtja maagaasiseaduse tähenduses; maagaasi rafineerimise ja töötlemise rajatise haldur; vesiniku tootmise, hoiustamise ja ülekandmisega tegelev operaator; Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 300/2008 artikli 3 punktis 4 määratletud lennuettevõtja; lennujaama haldaja lennundusseaduse tähenduses; Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 549/2004 artikli 2 punktis 1 määratletud lennujuhtimise teenust osutav liikluskorraldusettevõtja; raudteeinfrastruktuuriettevõtja ja raudteeveoettevõtja, sealhulgas teenindusrajatise käitaja raudteeseaduse tähenduses; Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 725/2004 I lisas meretranspordi puhul määratletud reisijate ja kauba vedamisega sisevetes, merel ja rannavetes tegelev ettevõtja, välja arvatud kõnealuse ettevõtja käidatud üksikud laevad; sadama valdaja sadamaseaduse tähenduses, sealhulgas nende Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 725/2004 artikli 2 punktis 11 määratletud sadamarajatised, ja sadamates tööde ning varustuse haldamisega tegelevad üksused; veeliikluse juhtimise keskus; intelligentse transpordisüsteemi operaator; Euroopa Parlamendi ja nõukogu määruse (EL) nr 575/2013 artikli 4 punktis 1 määratletud krediidiasutus; kauplemiskoha korraldaja väärtpaberituru seaduse tähenduses; Euroopa Parlamendi ja nõukogu määruse (EL) nr 648/2012 artikli 2 punktis 1 määratletud kesksed vastaspooled; tervishoiuteenuste korraldamise seaduses sätestatud haiglavõrku kuuluv piirkondliku haigla ja keskhaigla pidaja statsionaarse eriarstiabi osutamisel, kiirabibrigaadi pidaja kiirabi osutamisel ning perearst perearstiabi osutamisel; üksus, kes tegeleb ravimiseaduse tähenduses ravimi uurimise ja arendamisega; Eurostati klassifikaatori NACE Revision 2 C jao jaotises 21 osutatud põhifarmaatsiatoote ja ravimipreparaadi tootmisega tegelev üksus; üksus, kes toodab Euroopa Parlamendi ja nõukogu määruse (EL) 2022/123 artikli 22 tähenduses rahvatervise hädaolukorras kriitilise tähtsusega meditsiiniseadet (rahvatervise hädaolukorra esmatähtsate meditsiiniseadmete loetelu); joogivee veeseaduse § 17 lõike 1 tähenduses varustaja ja jaotaja, välja arvatud jaotaja, kelle puhul joogivee jaotamine on väheoluline osa tema üldisest muude tarbekaupade ja kaupade tarnimistegevusest; ettevõtja, kes tegeleb Nõukogu direktiivi 91/271/EMÜ artikli 2 punktides 1, 2 ja 3 määratletud asulareovee, olmereovee või tööstusreovee kogumise, ärajuhtimise või puhastamisega, välja arvatud ettevõtja, kelle puhul asulareovee, olmereovee või tööstusreovee kogumine, ärajuhtimine või puhastamine on väheoluline osa tema üldisest tegevusest; interneti vahetuspunkti teenuse osutaja (vt ka NIS2 direktiivi artikli 6 punkti 18); domeeninimesüsteemide süsteemi teenuse osutaja, välja arvatud juurnimeserveri operaator (vt ka NIS2 direktiivi artikli 6 punkte 19 ja 20); pilveandmetöötlusteenuse osutaja (vt ka NIS2 direktiivi artikli 6 punkti 30); andmekeskusteenuse osutaja (vt ka NIS2 direktiivi artikli 6 punkti 31); sisulevivõrguteenuse osutaja (vt ka NIS2 direktiivi artikli 6 punkti 32); hallatud teenuse osutaja (vt ka NIS2 direktiivi artikli 6 punkti 39); turbetarnija (vt ka NIS2 direktiivi artikli 6 punkti 40); kosmosepõhise teenuse osutamist toetav maapealse taristu operaator, kes on Eesti Vabariigi või eraõigusliku isiku omandis, hallata või käitada, kuid kes ei ole elektroonilise side võrgu pakkuja; postiteenuse osutaja postiseaduse tähenduses, sealhulgas kulleriteenuse osutaja; ettevõtja, kelle põhitegevuseks on jäätmeseaduse tähenduses jäätmekäitlus, sealhulgas jäätmekäitluse järelevalve ja jäätmete kõrvaldamiseks mõeldud jäätmekäitluskoha järelhooldus; ettevõtja, kes tegeleb Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 1907/2006 artikli 3 punktides 9 ja 14 osutatud ainete valmistamisega ning ainete või segude levitamisega, ja ettevõtja, kes toodab ainetest või segudest kõnealuse määruse artikli 3 punktis 3 määratletud tooteid; Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 178/2002 artikli 3 punktis 2 määratletud toidukäitlemisettevõtja, kes tegeleb hulgimüügi, tööstusliku tootmise ja töötlemisega; Euroopa Parlamendi ja nõukogu määruse (EL) 2017/745 artikli 2 punktis 1 määratletud meditsiiniseadet tootev üksus ning Euroopa Parlamendi ja nõukogu määruse (EL) 2017/746 artikli 2 punktis 2 määratletud in vitro diagnostikameditsiiniseadmeid tootev üksus, välja arvatud eespool viidatud Euroopa Parlamendi ja nõukogu määruses (EL) 2022/123 artiklis 22 osutatud meditsiiniseadet tootev üksus; Eurostati klassifikaatori NACE Revision 2 C jao jaotistes 26, 27, 28, 29 ja 30 osutatud majandustegevusega tegelev ettevõtja; internetipõhise kauplemiskoha pakkuja (vt ka NIS2 direktiivi artikli 6 punkti 28); internetipõhise otsingumootori pakkuja (vt ka NIS2 direktiivi artikli 6 punkti 29); sotsiaalvõrguteenuse platvormi pakkuja (vt ka NIS2 direktiivi artikli 6 punkti 33); teadusasutus (vt ka NIS2 direktiivi artikli 6 punkti 41).

Olgu mainitud, et eelnevalt viidatud krediidiasutustele, kesksetele vastaspooltele ja kauplemiskoha korraldajatele kohalduvad NIS2 direktiivi peamistele nõuetele samaväärsed nõuded, mistõttu nende suhtes ei kohaldata teatavaid NIS2 direktiivi artikleid. Siin vt ka NIS2 direktiivi artiklit 4 ning Euroopa Parlamendi ja nõukogu määrust (EL) 2022/2554 ehk nn DORA määrust.

Üldreeglile on ka erisus ehk NIS2 kohaldatakse ka direktiivi lisas I või II osutatud üksuste suhtes olenemata suurusest, kui:

1.teenuseid osutavad:
a) üldkasutatavate elektroonilise side võrkude pakkujad või üldkasutatavate elektroonilise side teenuste osutajad;
b) usaldusteenuse osutajad;
c) tippdomeeninimede registrid ja domeeninimede süsteemi teenuse osutajad;

2. üksus on liikmesriigis sellise teenuse ainuosutaja, mis on kriitilise tähtsusega ühiskondliku või majandustegevuse säilitamiseks;

3. üksuse osutatava teenuse häirel võib olla oluline mõju avalikule turvalisusele, avalikule julgeolekule või rahvatervisele;

4. üksuse osutatava teenuse häire võib tuua kaasa olulise süsteemse riski, eelkõige sektorites, kus sellisel häirel võib olla piiriülene mõju;

5. on kriitilise tähtsusega oma erilise olulisuse tõttu riiklikul või piirkondlikul tasandil konkreetse sektori või teenuseliigi või liikmesriigi muude üksteisest sõltuvate sektorite jaoks;

6. üksus on:
a) keskvalitsuse avaliku halduse üksus (vt ka NIS2 direktiivi artikli 6 punkti 35), nagu see on kindlaks määratud liikmesriigi poolt kooskõlas tema õigusega, või
b) liikmesriigi poolt tema õiguse kohaselt kindlaks määratud piirkondliku tasandi üksus, mis vastavalt riskipõhisele hindamisele osutab teenuseid, mille häirel võib olla oluline mõju kriitilise tähtsusega ühiskondlikule või majandustegevusele.

7. üksus on samal ajal ka direktiivi (EL) 2022/2557 kohaselt elutähtsa teenuse osutaja ehk Eesti mõttes hädaolukorra seaduse tähenduses elutähtsa teenuse osutaja;

8. üksuse puhul on tegemist domeeninimede registreerimise teenust osutava üksusega (vt ka NIS2 direktiivi artikli 6 punkti 22).

Lisaks eeltoodule võivad liikmesriigid ette näha, et NIS2 direktiivi kohaldatakse ka:

·       kohaliku tasandi avaliku halduse üksuste suhtes (Eestis on küberturvalisuse seaduse subjektidena juba hõlmatud kohalike omavalitsuste üksused ja nende all-asutused, mistõttu siin eelduslikult uusi subjekte ei teki);

·       haridusasutuste suhtes, eelkõige juhul, kui nad teevad kriitilise tähtsusega teadusuuringuid (Eestis on küberturvalisuse seaduse subjektidena juba hõlmatud avalik-õiguslikud juriidilised isikud ehk ka ülikoolid, mistõttu siin eelduslikult uusi subjekte ei teki).

NIS2 direktiiv näeb ette, et direktiivi subjektiks saav üksus on kas elutähtis üksus või oluline üksus. Peamine erinevus nende käsitlemisel on ennekõike seotud järelevalvega ja tagajärgedega, kui direktiivi nõudeid ei täideta. Sel teemal vt järgmist peatükki ja NIS2 direktiivi artikli 3 lõikeid 1 ja 2.

Rõhutame üle, et tegemist on esmase analüüsiga, mis laadi organisatsioonid või üksused saavad NIS2 direktiivi kohaldamisalasse Eestis ehk edaspidi ka küberturvalisuse seaduse subjektideks. Samuti on eelnõu koostamisel soov säilitada võimalikult palju seda subjektide ringi, kellele juba praegu kehtib küberturvalisuse seadus. Kuid eelnevalt mainitud subjektide ringi laiendamise ja säilitamise tulemused selguvad täpsemalt eelnõu koostamise ja avaliku kooskõlastamise käigus.

Millised on NIS2 direktiivi või tulevase küberturvalisuse seaduse subjekti suhtes kehtivad nõuded?

Toome lühidalt välja põhilisemad nõuded, mida tulevane küberturvalisuse seaduse subjekt peab järgima ning ka mõned aspektid, millega tasuks arvestada enda tegevuses. Viidetes olevad artiklid on toodud kõik NIS2 direktiivist.

a) Artiklid 3 ja 27 — teavita ja vajadusel uuenda enda infot: kui saad subjektiks, siis tuleb teatada pädevale asutusele (Riigi Infosüsteemi Amet) teatava info enda organisatsioonist (nt nimi, kontaktid jne), sh hoidma seda infot ajakohasena;

b) Artikkel 26: määra esindaja: selles artiklis on nimetatud teatavad üksused, kes peavad nimetama oma esindaja, kui tema tegevuskoht ei ole Euroopa Liidus või ta ei ole seal asutatud, kuid ta pakub Euroopa Liidus oma teenuseid; siin vt ka artikli 6 punkti 34;

c) Artikkel 20 — juhtorgani vastutus: juhtorgan kiidab heaks küberturvalisuse riskijuhtimismeetmed, mida üksus on võtnud artikli 21 järgimiseks, jälgib nende rakendamist ning üksusi võib võtta vastutusele artikli 21 rikkumise eest;

d) Artikkel 20 — juhtorgani erikoolitused: juhtorganite liikmed on kohustatud läbima korrapäraselt erikoolitusi; samuti tuleb ergutada üksusi pakkuma ka oma töötajatele/teenistujatele sarnaseid koolitusi;

e) Artikkel 21 — üksus võtab kasutusele riskijuhtimismeetmed: tegemist on üksuse küberturvalisuse kaitse ja sellega seotud meetmete kasutusele võtmisega; siin tasub vaadata ka Eesti infoturbestandardi poole, mis selle artikli vajadused sisuliselt ära katab; siinses artiklis olevate nõuetega tasub tutvuda ka seetõttu, et nende rikkumise korral on ette nähtud ka tagajärjed (vt artiklit 34);

f) Artikkel 24 — Euroopa küberturvalisuse sertifitseerimise kavade kasutamine: liikmesriik ehk Eesti võib nõuda üksuselt artikli 21 teatavatele nõuetele vastavuse tõendamiseks teatavate IKT-toodete, IKT-teenuste ja IKT-protsesside kasutamist, mille on välja töötanud üksus või mis on hangitud kolmandatelt isikutelt ning mis on sertifitseeritud küberturvalisuse määruse (Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881) kohaselt vastu võetud Euroopa küberturvalisuse sertifitseerimise kavade alusel; eelnõu koostamisel taolist kohustust ei ole planeeritud tekitada, kuid sellele võimalusele võib mõelda tulevikus; samas on sarnane volitus nende kasutamiseks ka Euroopa Komisjonil, kes saab seda teha delegeeritud õigusaktide alusel;

g) Artiklid 23 ja 30 — küberintsidentidest teavitamine: üksused teavitavad Riigi Infosüsteemi Ametit kõikidest olulistest intsidentidest ning asjakohasel juhul ka oma teenuse kasutajaid; lisaks sellele võivad üksused ja muud osapooled teavitada ka muudest intsidentidest ning küber- ja intsidendiohtudest; siin vt ka artikli 6 punkte 5, 6, 7 ja 10; artiklis 23 olevate nõuetega tasub tutvuda ka seetõttu, et nende rikkumise korral on ette nähtud ka tagajärjed (vt artiklit 34);

h) Artikkel 28 — domeeninimede registreerimisandmete andmebaas: artikkel määratleb, kuidas toimetavad tippdomeeninimede registrid ja tippdomeenide domeeninimede registreerimise teenuseid osutavad üksused, sh mis infot nad ise koguvad;

i) Artikkel 29 — küberturvalisuse alase teabevahetuse kokkulepped: üksused kui ka muud osapooled võivad vabatahtlikult vahetada asjakohast küberturvalisuse alast teavet, sõlmides selleks vastavad kokkulepped; kui NIS2 direktiivi subjekt osaleb sellises kokkuleppes, siis tuleb selles osalemisest kui ka sellest väljumisest teavitada Riigi Infosüsteemi Ametit; siin vt ka artikli 6 punkti 15;

j) Artiklid 31–33 määratlevad Riigi Infosüsteemi Ameti järelevalve õigused ja –meetmed;

k) Artikkel 34 — haldustrahvid: see artikkel määratleb haldustrahvide määramise üldtingimused, kui rikutakse artiklis 21 või 23 olevaid nõudeid; haldustrahvide maksimaalsed suurused sõltuvad sellest, kas tegemist on elutähtsa üksuse või olulise üksusega; eelnõu koostamisel on mõte võtta üle haldustrahvide sisu väärteomenetluse raamistikku, kuid selle lõplik vorm selgub eelnõu koostamise käigus;

l) Artikkel 34 — sunniraha: samas artiklis on ka säte, et liikmesriigid võivad ette näha õiguse määrata sunniraha, mille eesmärk on sundida üksust direktiivi rikkumist lõpetama; direktiiv siin sunniraha suurust/raame ette ei näe.

Mõned soovitused edaspidiseks

Esmalt tee selgeks, kas oled juba praegu küberturvalisuse seaduse subjekt või laienevad sulle selle seaduse kohustused tulevikus NIS2 direktiivi üle võtmise järel. Isegi, kui Sinu organisatsioon ei satu küberturvalisuse seaduse nõuete alla, siis on sellest hoolimata kasulik järgida ka selle seaduse nõudeid, sh ka järgmisi soovitusi:

·       Mõelge koos organisatsiooni juhiga läbi asutuse infoturbe eesmärgid — milleks infoturve teie jaoks oluline on?

·       Vaadake läbi oma organisatsiooni äriprotsessid, määrake protsesside eest vastutajad, tuvastage äriprotsessidega seotud varad, leidke asjakohased turvameetmed (näiteks Eesti infoturbestandardist) ja rakendage need igasse protsessi.

·       Rakendage organisatsioonis riskihaldust.

·       Seirake ning parendage regulaarselt asutuse infoturbehalduse süsteemi toimimist.

·       Plaanige organisatsiooni ressursse võimalike kahjude kontekstis tagajärgede likvideerimiseks või siis kahjude ärahoidmiseks.

·       Informeerige ning koolitage oma organisatsiooni juhte ja töötajaid regulaarselt.

·       Uuendage infoturbe haldust organisatsioonis toimuvate muutuste ja suuremate intsidentide korral!

Kui oled Eesti väikese- ja keskmise suurusega ettevõtja, siis tutvu EAS/Kredexi võrgulehel oleva küberturvalisuse taseme kaardistamise ja arendamise toetuse tingimustega. Samuti tasub tutvuda ka muude toetuste ning nende tingimustega (näiteks digipöörde toetus ettevõtetele).

NIS2 direktiivi üle võtmise ajakavast

Majandus- ja Kommunikatsiooniministeerium valmistab hetkel ette eelnõu ja seletuskirja teksti, millega võetakse üle NIS2 direktiiv. Eelnõu koostamise praegune ajakava 2024. aasta kohta on järgmine:

·       mais ja juuni alguses toimub eelnõu kirjutamine;

·       juunis (eelduslikult enne jaanipäeva) esitatakse eelnõu eelnõude infosüsteemi kaudu avalikuks konsulteerimiseks;

·       juulis ja augustis toimuvad tagasisidestamine ning vajaduse korral ka kärajad;

·       augusti lõpus ja septembri alguses toimub saadud tagasiside lõplik läbivaatus ja vajadusel eelnõu täiendamine;

·       september edastatakse eelnõu Vabariigi Valitsusse, mille järel liigub see Riigikokku.

NIS2 direktiivi üle võtmise tähtaeg on 18. oktoober 2024. Kuigi tegemist on üsna kiire ajakavaga, on meil ootus, et Riigikogu suudab selle õigeaegselt vastu võtta. Kuid kui peaksid tekkima viivitused või muud ettenägematud asjaolud, siis toimub ajakava üle vaatamine.

Eelnõu koostamisel ja avalikul kooskõlastusringil saadud tagasiside järel selgub täpsemalt, kuidas NIS2 direktiivi sätted võetakse Eesti õigusse üle. Sellest hoolimata võib väita, et Eesti tegi esimese NIS direktiivi (Euroopa Parlamendi ja nõukogu direktiiv (EL) nr 2016/1148) üle võtmisel rohkem kui esimene direktiiv seda nõudis, mille tulemusena on NIS2 üle võtmine Eesti õigusesse selle peamiste nõuete osas väheke lihtsam. Pigem võib esmapilgul muresid tekitada asjaolu, et küberturvalisuse seaduse subjektide ring laieneb, mistõttu võtab NIS2 direktiivist tulenevate nõuete rakendamine uutes organisatsioonides teatava aja ning panuse. Siiski on kõik need tegevused suurema pildi mõttes samm õiges suunas — sellega panustame kõik küberturvalisemasse Eestisse.

Raavo Palu
küberturvalisuse nõunik
Majandus- ja kommunikatsiooniministeerium