| Dokumendiregister | Riigi Infosüsteemi Amet |
| Viit | 9-7/24-0332/253 |
| Registreeritud | 02.01.2025 |
| Sünkroonitud | 03.01.2025 |
| Liik | Käskkiri |
| Funktsioon | 9 Küberturvalisuse valdkonna teenuste korraldamine |
| Sari | 9-7 Usaldusteenuse osutamisega seonduv kirjavahetus ning tegevuslubade menetlemine |
| Toimik | 9-7/24-0332 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | |
| Saabumis/saatmisviis | |
| Vastutaja | Järelevalveosakond |
| Originaal | Ava uues aknas |
OTSUS 02.01.2025 nr 9-7/24-0332/253
Tegevuslubade andmisest keeldumise otsus
Comsign Europe OÜ (registrikood 16721581) esitas Riigi Infosüsteemi Ametile (edaspidi RIA)
10.10.2024 kolm taotlust kvalifitseeritud usaldusteenuste osutamise tegevuslubade väljastamiseks:
- kvalifitseeritud e-allkirja sertifikaatide väljastamise teenuse osutamiseks
- kvalifitseeritud e-templi sertifikaatide väljastamise teenuse osutamiseks
- kvalifitseeritud veebisaidi autentimise sertifikaatide väljastamise teenuse osutamiseks
Taotlustele oli lisatud muude dokumentide hulgas vastavushindamisasutuse LSTI SAS
vastavushindamise aruanne nr LSTI #1626-248_V1.0 bis kuupäevaga 21.08.2024 (menetluse
käigus viimane esitatud versioon LSTI #1626-248_V1.1 bis kuupäevaga 19.12.2024).
RIA, tutvunud kõikide esitatud dokumentidega, tuvastas vastavushindamise aruandes alljärgnevat:
1) Euroopa Parlamendi ja Nõukogu määruse (EL) nr 910/2014 (eIDAS) (muudetud Euroopa
Parlamendi ja Nõukogu määrusega (EL) 2024/1183 (eIDAS 2.0)) artikkel 32 (1) f sätestab
kvalifitseeritud e-allkirjale nõude, et see peab olema antud kvalifitseeritud e-allkirja
andmise vahendiga. Kvalifitseeritud e-allkirja andmise vahendid tuleb sertifitseerida
kooskõlas eIDAS/eIDAS 2.0 määruse artiklis 30 sätestatule.
Vastavalt eIDAS/eIDAS 2.0 määruse artiklile 31 (1) edastavad liikmesriigid komisjonile
põhjendamatu viivituseta ja mitte hiljem kui üks kuu pärast sertifitseerimise lõpuleviimist
teabe selliste kvalifitseeritud e-allkirja andmise vahendite kohta, mille on sertifitseerinud
artikli 30 lõikes 1 osutatud asutused. Artikli 31 (2) alusel koostab komisjon saadud teabe
põhjal sertifitseeritud kvalifitseeritud e-allkirja andmise vahendite nimekirja, haldab seda
ja avaldab selle1.
19.12.2024 esitatud vastavushindamise aruanne (viimane versioon ehk V1.1) viitab lk 18
e-allkirja andmise vahenditele, mida ei ole loetletud komisjoni poolt hallatavas nimekirjas.
10.10.2024 RIA-le esitatud vastavushindamise aruandes (V1.0) oli samu e-allkirja andmise
vahendeid mainitud ka lk 4. Peale RIA vastavat teavitust muutis lühikese aja jooksul
vastavushindamisasutus aruandes viidatud e-allkirja andmise vahendite nimekirja, kuid
samas vastavushindamise aruande versioonis edaspidiselt muudetud e-allkirja andmise
vahendeid teenuste osutamise kirjeldustes ei mainita ega käsitleta. Seega esineb
1 https://eidas.ec.europa.eu/efda/browse/notification/qscd-sscd
2 (3)
vastavushindamise aruandes esitatud andmetes olulisi ebakõlasid.
Lisaks mainib vastavushindamise aruanne (V1.1) lk 98 moodulis SDP-6.5.1-02 järgmist:
„There is no evidence that the products used for the certificates issued under the QCP-n-
qscd policy are certified QSCD.”
Kokkuvõttes ei ole RIA-le esitatud andmeid, mis kinnitaksid, et on täidetud
eIDAS/eIDAS 2.0 määruse artiklis 32 (1) f kvalifitseeritud e-allkirjale sätestatud
nõue, mis kohustab kvalifitseeritud e-allkirja sertifikaatide väljastamise teenust
teostama kvalifitseeritud e-allkirja andmise vahendiga.
2) Majandus- ja taristuministri 26.10.2016 määrus nr 64 „Usaldusteenuse osutaja ja
usaldusteenuse vastavushindamise kord“ sätestab § 3 lg 2 punktis 7 vastavushindamise
aruandele nõude, et see peab sisaldama põhjendatud järelduse usaldusteenuse ja selle
osutaja vastavusest või mittevastavusest e-identimise ja e-tehingute usaldusteenuse
seaduse (edaspidi EUTS) § 5 lõikes 1 sätestatud nõuetele.
EUTS § 5 lg 1 sätestab kvalifitseeritud usaldusteenuse osutajale ja usaldusteenusele nõude
vastata Euroopa Parlamendi ja nõukogu määruses (EL) nr 910/2014 ning EUTS-is
sätestatud nõuetele ning usaldusteenust kirjeldavatele avalikult heakskiidetud ja
kättesaadavatele spetsifikatsioonidele.
10.10.2024 esitatud vastavushindamise aruandes (V1.0) puudusid põhjendatud järeldused
nii eIDAS määruse, kui ka EUTS nõuetele vastavuse osas. Peale RIA vastavat teavitust
lisas lühikese aja jooksul vastavushindamisasutus viite eIDAS nõuetele vastavuse kohta
(V1.1 lk 4) moodulisse 4.2 märkusena „Auditor’s comments on the TSP level of
compliance” alapealkirja alla. Samas moodulis “4. Fulfilment of the requirements” (lk 3)
mainitakse ainult ETSI standardeid, kuid ei käsitleta vastavust eIDAS nõuetele laiemalt.
Lisaks puudub aruandes endiselt põhjendatud järeldus EUTS nõuetele vastavuse
osas.
3) Tulenevalt EUTS § 8 punktist 2 annab pädev asutus (ehk RIA) loa, kui taotleja on läbinud
eIDAS/eIDAS 2.0 määruses artiklis 20 nimetatud vastavushindamise.
eIDAS 2.0 määrus art. 20 (1) sätestab kohustuse vastavushindamisasutusele auditeerida
ning kinnitada, et kvalifitseeritud usaldusteenuse osutajad ja nende osutatavad
kvalifitseeritud usaldusteenused vastavad eIDAS määruses ja direktiivi (EL) 2022/2555
(NIS2 direktiiv) artiklis 21 sätestatud nõuetele. Vastav kinnitus NIS2 direktiivi nõuete
osas esitatud vastavushindamise aruandes puudub, seega ei ole vastavushindamine
läbi viidud kooskõlas eIDAS art. 20 (1) ning EUTS § 8 punktiga 2.
Esitatud vastavushindamise aruandes on suurel hulgal ka muid vasturääkivusi. Muuhulgas on
mitmel korral mainitud, et ettevõte allub Iisraeli seadusandlusele (vt moodulid REQ-7.9-07, REQ-
7.13-01). Puuduvad viited selle kohta, et vastavushindamisasutus on auditeerinud spetsiifiliselt
Eesti ettevõttega (Comsign Europe OÜ) seotud protsesse, nt kontrollinud asjakohaste kirjalike
lepingute (SLA) olemasolu Eesti ja Iisraeli ettevõtete vahel.
RIA, olles kontrollinud EUTS §-s 7 ja 8 sätestatud tingimuste täitmist, vaadanud läbi
vastavushindamise aruande ja selles audiitorite poolt viidatud märkused ning juhindudes EUTS §-
st 2, kooskõlas haldusmenetluse seaduse § 4 lõikega 1:
3 (3)
otsustab keelduda tegevuslubade väljastamisest Comsign Europe OÜ-le (registrikood
16721581).
11.12.2024 edastas RIA Comsing Europe OÜ-le teavituse eelseisvast tegevuslubade andmisest
keeldumise otsusest ning andis võimaluse oma arvamuse ja vastuväidete esitamiseks (kiri nr 9-
7/24-0332/241967 „Notification of Impending Refusal of Activity Permits and Granting a
Possibility to Provide an Opinion and Objections“). Comsign Europe OÜ vastas RIA-le e-kirja
teel 22.12.2024, esitades uue (V1.1) vastavushindamise aruande. Uues aruandeversioonis tehtud
muudatused on eelnevalt käsitletud käesolevas otsuses. RIA seisukohal ei ole tehtud muudatused
piisavad, et tegevusload väljastada ning vajalik on läbi viia uus vastavushindamine.
Isikul, kes leiab, et otsusega rikutakse tema õigusi, on 30 kalendripäeva jooksul arvates sellise
asjaolu teadasaamisest õigus esitada vaie Riigi Infosüsteemi Ameti peadirektorile (Pärnu mnt
139a, 15169 Tallinn, e-post [email protected]) haldusmenetluse seaduses sätestatud korras või kaebus
Tallinna Halduskohtusse (Tallinna Kohtumaja, Pärnu mnt 7, 15082 Tallinn, e-post
[email protected]) halduskohtumenetluse seadustikus sätestatud korras.
(allkirjastatud digitaalselt)
Taavi Ploompuu
peadirektori asetäitja riigi infosüsteemi alal
peadirektori ülesannetes