| Dokumendiregister | Majandus- ja Kommunikatsiooniministeerium |
| Viit | 2-2/2882-6 |
| Registreeritud | 23.12.2024 |
| Sünkroonitud | 24.12.2024 |
| Liik | Sissetulev kiri |
| Funktsioon | 2 Õigusloome ja -nõustamine |
| Sari | 2-2 Ministeeriumis väljatöötatud õigusaktide eelnõud koos seletuskirjadega |
| Toimik | 2-2/2024 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Eesti Pank |
| Saabumis/saatmisviis | Eesti Pank |
| Vastutaja | Guido Pääsuke (Majandus- ja Kommunikatsiooniministeerium, Kantsleri valdkond, Digiarengu valdkond, Riikliku küberturvalisuse osakond) |
| Originaal | Ava uues aknas |
Estonia pst 13 15095 TALLINN
Telefon 668 0719 Faks 668 0836
[email protected] eestipank.ee
Justiits- ja digiminister Majandus-ja kommunikatsiooniministeerium [email protected]
Teie 15.11.2024 nr 2.2/2882-1 Meie 20.12.2024 nr 17.1/388-1
Hädaolukorra seaduse muutmine
Lugupeetud Liisa-Ly Pakosta Eesti Pank tänab võimaluse eest avaldada arvamust hädaolukorra seaduse muutmise seaduse
kohta ja toetab väljapakutud muudatusi elutähtsa teenuse toimepidevuse tagamiseks vajalike andmete ja seadmete asukoha nõuete ajakohastamiseks. Elutähtsa teenuse toimepidevuse tagamiseks vajalike andmete ja seadmete asukoha nõuete ajakohastamine on väga oodatud, sest loob ETO-pankadele võimaluse muuta elutähtsate makseteenuste toimepidevus sõltumatuks andmekeskuste füüsilisest asukohast Eestis. Eesti Pank toetab väljapakutud muudatusi ja peab vajalikuks eelnõu esimesel võimalusel vastu võtta ja jõustada. Praegune geopoliitiline olukord ja realiseerunud intsidendid ilmestavad vajadust olla paremini valmis võrguliikluse katkemiseks. Pakutud muudatused võimaldavad ETO-del riske hajutada. Lisaks võimalusele hakata andmete ja seadmete majutamiseks kasutama pilvepõhiseid lahendusi, loob seadusemuudatus võimaluse viia vähemalt andmete ja seadmete varukoopia turvalisse välisriiki või pilve. See toetab kriitilistes olukordades andmete ja seadmete kiirelt taastamist. Seadust muutvasse eelnõusse Eesti Pangal ettepanekuid ei ole, kuid teeme eeltoodust tulenevalt mõned ettepanekud seletuskirja täiendamiseks (täiendused on tumedas kirjas). Palume nendega võimalusel arvestada. 1. Teeme ettepaneku täiendada seletuskirja lk 2, eesmärgiga tuua välja elutähtsad
teenused, mille andmete ja seadmete välisriigis hoidmine on soovitav ning rõhutada üle see, et pilveteenuse kasutamisel tuleb ETO-l hinnata ja maandada riskid juhtudeks, kus pilveteenus võib ootamatult katkeda:
„Enamik elutähtsaid teenuseid sõltub infotehnoloogiast. Seega peavad ETO-d valmistuma võrgu- ja infosüsteemide kompromiteerimise ja katkestuste olukordadeks ning nägema ette ka üksteisest sõltumatud toimimise alternatiivid, et teenus toimiks ka ettenägematus olukorras (küberründed, tavapäraste sideühenduste katkestused). Teenuste toimepidevuse tagamiseks tuleb kasutusele võtta kriisikindlamad infotehnoloogilised lahendused, mis aga ei peaks eeldama võrgu- ja infosüsteemi füüsilist paiknemist Eestis, kuid peaks siiski võimaldama muu hulgas pilveteenuste kasutamist. Andmete ja seadmete välisriigis hoidmist saaks toimepidevuse parandamiseks eelistada näiteks elutähtsate makseteenuste või usaldusteenuste (isikutuvastamise/allkirjastamise teenus) puhul, mille puhul puudub füüsiline komponent, mis peaks ilmtingimata Eestis asuma. Elutähtsate teenuste toimepidevuse tagamiseks kasutatakse Eestis juba praegu füüsilisest asukohast sõltumatuid ajakohaseid võrgu- ja infosüsteeme. See toob omakorda esile vajaduse hoida välisriigis asuvate andmete ja seadmetega pidevat ühendust ning tõrgete (nt primaarse sideteenuse kompromiteerimine) ennetamine eeldab tehnoloogiliselt erinevate sideühendusete olemasolu.
2/2
Erinevate tehnoloogiliste lahenduste kasutamisel (nt juhul kui üks neist peaks olema pilveteenus) tuleb ETO-l hinnata ja maandada teenuse toimepidevuse riskid ka juhtudel kui alternatiivse teenuse (nt pilveteenuse) pakkuja teenus peaks ootamatult katkema ning selle riski maandamiseks võetavaid meetmeid oma toimepidevuse riskianalüüsis ja plaanis asjakohaselt kirjeldada.“ 2. Eesti Pank teadvustab, et eelnõuga kaotatakse RIA kohustus teha järelevalvet
alternatiivsete sideühenduste olemasolu üle ning antakse see ülesanne ETKA-le (finantsjärelevalve subjektide puhul Finantsinspektsioonile). Kuna ETKA teeb selles rollis koostööd RIAga, teeme ettepaneku seletuskirja täiendamiseks (lk 3):
„Eelnõukohase seadusega muudetava HOS-i § 41 lõike 2 kohaselt (vt ka muutmise seletust eespool) peab ETO-l olema elutähtsa teenuse osutamiseks vältimatult vajalike välisriigis asuvate andmete või seadmetega ühenduse pidamiseks vähemalt kaks dubleerivat vahendit või tehnoloogiliselt alternatiivset lahendust. Kuna nõue puudutab elektroonilise side teenuse või võrgu olemasolu ega käsitle küberturvalisuse tagamist, ei ole eelduse täitmise kontrollimine RIA pädevuses. Eeltoodut arvestades on mõistlik säte kehtetuks tunnistada. ETKAde koostöö RIAga on sellegipoolest vajalik HOSi § 41 lõike 2 sätestatud nõuete täitmise üle järelevalve tegemisel, kui tuleb anda hinnang pilveteenuse pakkujate turvalisuse kohta või andmete ja seadmete majutamiseks sobilike välisriikide määratlemisel.“ 3. Eesti Pank toetab seletuskirjas satelliitside nimetamist ühe võimaliku tehnoloogiliselt
erineva lahenduse näitena kaabelühenduse kõrval. Lugupidamisega (allkirjastatud digitaalselt)
Madis Müller president Silja Mesila 668 0633 [email protected]
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|