| Dokumendiregister | Riigi Tugiteenuste Keskus |
| Viit | 11.1-1/25/53-1 |
| Registreeritud | 08.01.2025 |
| Sünkroonitud | 09.01.2025 |
| Liik | Sissetulev kiri |
| Funktsioon | 11.1 Toetuste arendamine, sertifitseerimine ja järelevalve alates 01.10.2024 |
| Sari | 11.1-1 Toetuste arendamise, sertifitseerimise ja järelevalvega seotud üldine kirjavahetus |
| Toimik | 11.1-1/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Rahandusministeerium |
| Saabumis/saatmisviis | Rahandusministeerium |
| Vastutaja | Marek Kübarsepp (Riigi Tugiteenuste Keskus, Peadirektori asetäitjale alluvad osakonnad, Toetuste arendamise osakond, Toetuste korraldamise talitus, Õigusüksus) |
| Originaal | Ava uues aknas |
Suur-Ameerika 1 / 10122 Tallinn / 625 6342 / [email protected] / www.mkm.ee
Registrikood 70003158
Riigikantselei
Ministeeriumid
Eesti Linnade ja Valdade Liit
09.12.2024 nr 2-2/3131-1
Küberturvalisuse seaduse ja teiste seaduste
muutmise seadus (küberturvalisuse
2. direktiivi ülevõtmine)
Esitame kooskõlastamiseks ja arvamuse avaldamiseks küberturvalisuse seaduse ja teiste seaduste muutmise seaduse (küberturvalisuse 2. direktiivi ülevõtmine) eelnõu. Palume Teie tagasisidet hiljemalt 2025. a 31. jaanuaril ning tagasiside esitada alates 2025. a 1. jaanuarist Justiits- ja Digiministeeriumi aadressil. Ministeeriumitel palun eelnõud levitada ka enda valitsemisalas. Riigi Infosüsteemi Ametil edastada eelnõu küberturvalisuse seaduse kohaldamisalas olevatele organisatsioonidele.
Lugupidamisega
(allkirjastatud digitaalselt)
Liisa-Ly Pakosta
justiits- ja digiminister
Lisad: 1) eelnõu;
2) seletuskiri;
3) seletuskirja lisa 1 (vastavustabel);
4) seletuskirja lisa 2 (määruste kavandid).
Lisaadressaadid: Andmekaitse Inspektsioon
Arenguseire Keskus
Audiitorkogu
Eesti Advokatuur
Eesti Apteekrite Liit
Eesti E-kaubanduse Liit
Eesti Elektritööstuse Liit
Eesti Gaasiliit
Eesti Infosüsteemide Audiitorite Ühing
Eesti Infotehnoloogia ja Telekommunikatsiooni Liit
2 (2)
Eesti Jõujaamade ja Kaugkütte Ühing
Eesti Kaubandus-Tööstuskoda
Eesti Kaupmeeste Liit
Eesti Kiirabi Liit
Eesti Kaitse- ja Kosmosetööstuse Liit
Eesti Kultuurkapital
Eesti Kunstiakadeemia
Eesti Logistika ja Ekspedeerimise Assotsiatsioon
Eesti Maaülikool
Eesti Muusika- ja Teatriakadeemia
Eesti Pank
Eesti Pangaliit
Eesti Perearstide Selts
Eesti Proviisorapteekide Liit
Eesti Proviisorite Koda
Eesti Põllumajandus-Kaubanduskoda
Eesti Rahvusraamatukogu
Eesti Ravimihulgimüüjate Liit
Eesti Taristuehituse Liit
Eesti Teaduste Akadeemia
Eesti Toiduainetööstuste Liit
Eesti Transpordikütuste Ühing
Eesti Turvaettevõtete Liit
Eesti Töötukassa
Finantsinspektsioon
Haiglate Liit
Harju Maakohus
Kaitseliit
Keemilise ja Bioloogilise Füüsika Instituut
Kohtutäiturite ja Pankrotihaldurite Koda
Logistika ja Sadamate Liit
Notarite Koda
Patendivolinike Koda
Pärnu Maakohus
Rahvusooper Estonia
Ravimitootjate Liit
Riigi Infosüsteemi Amet
Riigi Valimisteenistus
Riigikogu kantselei
Riigikohus
Riigikontroll
Riigimetsa Majandamise Keskus
Tagatisfond
Tallinna Halduskohus
Tallinna Ringkonnakohus
Tartu Ülikool
Tervisekassa
Vabariigi Presidendi kantselei
Viru Maakohus
Õiguskantsleri kantselei
Raavo Palu [email protected]
1 / 34
EELNÕU
07.12.2024
Küberturvalisuse seaduse ja teiste seaduste muutmise seadus
(küberturvalisuse 2. direktiivi ülevõtmine)
§ 1. Küberturvalisuse seaduse muutmine
Küberturvalisuse seaduses tehakse järgmised muudatused:
1) paragrahvi 1 täiendatakse lõigetega 11–16 järgmises sõnastuses:
„(11) Käesolevat seadust kohaldatakse Euroopa Liidus teenuseid osutavatele või tegutsevatele
üksustele, kellel on majandusaasta jooksul keskmiselt 50 või rohkem töötajat ja kelle aasta
bilansimaht või aastakäive ületab 10 miljonit eurot, arvestades mikro- ja väikese ettevõtja
määratlusi Euroopa Komisjoni soovituses 2003/361/EÜ mikro-, väikese ja keskmise suurusega
ettevõtjate määratlemise kohta (ELT L 124, 20.05.2003, lk 36–41). Üksuste määratlemisele ei
kohaldata Euroopa Komisjoni soovituse 2003/361/EÜ lisa artikli 3 lõiget 4.
(12) Arvestades käesoleva paragrahvi lõiget 11, kohaldatakse käesolevat seadust üksuse suhtes,
kes on:
1) elektriettevõtja elektrituruseaduse tähenduses, kes tegeleb elektrienergia müügiga, kaasa
arvatud edasimüügiga elektrienergia hulgimüüjale või lõpptarbijale;
2) jaotusvõrguettevõtja elektrituruseaduse tähenduses;
3) põhivõrguettevõtja elektrituruseaduse tähenduses;
4) elektriettevõtja elektrituruseaduse tähenduses, kes tegeleb elektrienergia tootmisega;
5) määratud elektriturukorraldaja Euroopa Parlamendi ja nõukogu määruse (EL) 2019/943, milles
käsitletakse elektrienergia siseturgu (ELT L 158, 14.06.2019, lk 54–124), artikli 2 punkti 8
tähenduses;
6) turuosaline Euroopa Parlamendi ja nõukogu määruse (EL) 2019/943 artikli 2 punkti 25
tähenduses, kes osutab elektrituruseaduse tähenduses agregeerimis-, tarbimiskaja- või
elektrienergia salvestamise teenust;
7) laadimispunkti käitaja elektrituruseaduse tähenduses, kes vastutab laadimispunkti haldamise ja
käitamise eest, mis osutab lõppkasutajatele laadimisteenust, sealhulgas liikuvusteenuse osutaja
nimel ja eest;
8) kaugkütteseaduse tähenduses kaugkütte pakkuja ja kaugjahutuse pakkuja;
9) nafta tootmise, rafineerimise ja töötlemise rajatistega ning nafta hoiustamise ja ülekandmisega
tegelev operaator;
10) maagaasi, sealhulgas veeldatud maagaasi müügiga, sealhulgas maagaasi hulgimüüjale,
lõpptarbijale ja maagaasi ostvale gaasiettevõtjale edasimüügiga tegelev gaasiettevõtja
maagaasiseaduse tähenduses;
11) üksus, kes täidab maagaasi jaotamise ülesannet ja on vastutav jaotussüsteemi kasutamise eest,
tagades selle hoolduse ja vajadusel arendamise teatud paikkonnas ning vajadusel maagaasivõrgu
2 / 34
ühendamise teiste maagaasivõrkudega ja tagab maagaasivõrgu pikaajalise võime rahuldada
mõistlikku nõudlust maagaasi jaotamise järele;
12) üksus, kes täidab maagaasi ülekande ülesannet ja vastutab ülekandesüsteemi käitamise eest,
tagades selle hoolduse ning vajadusel arendamise teatud paikkonnas ja vajadusel gaasivõrkude
ühendamise teiste maagaasivõrkudega, ning tagab maagaasivõrgu pikaajalise võime rahuldada
mõistlikku nõudlust maagaasi transportimise järele;
13) hoidlatevõrgu haldur maagaasiseaduse tähenduses;
14) veeldatud gaasi terminali haldur maagaasiseaduse tähenduses;
15) gaasiettevõtja maagaasiseaduse tähenduses;
16) maagaasi rafineerimise ja töötlemise rajatise haldur;
17) vesiniku tootmise, hoiustamise ja ülekandmisega tegelev operaator;
18) lennuettevõtja Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 300/2008, mis käsitleb
tsiviillennundusjulgestuse ühiseeskirju ja millega tunnistatakse kehtetuks määrus (EÜ) nr
2320/2002 (ELT L 097, 09.04.2008, lk 72–84), artikli 3 punkti 4 tähenduses, kes tegutseb
kommertsvaldkonnas;
19) lennujaama haldaja lennundusseaduse tähenduses, Euroopa Parlamendi ja nõukogu direktiivi
2009/12/EÜ lennujaamatasude kohta (ELT L 70, 14.03.2009, lk 11–16) artikli 2 punktis 1
määratletud lennujaam ning lennujaamas olevaid abirajatisi käitav üksus;
20) Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 549/2004, millega sätestatakse raamistik
ühtse Euroopa taeva loomiseks (raammäärus) (ELT L 96, 31.03.2004, lk 1–9), artikli 2 punktis 1
määratletud lennujuhtimise teenust osutav lennuliikluskorraldusettevõtja;
21) raudteeinfrastruktuuriettevõtja ja raudteeveoettevõtja, sealhulgas teenindusrajatise käitaja
raudteeseaduse tähenduses;
22) Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 725/2004 laevade ja sadamarajatiste
turvalisuse tugevdamise kohta (ELT L 129, 29.04.2004, lk 6–91), I lisas meretranspordi puhul
määratletud reisijate ja kauba vedamisega sisevetes, merel ja rannavetes tegelev ettevõtja, välja
arvatud kõnealuse ettevõtja käidatud üksikud laevad;
23) sadama pidaja või sellise sadamarajatise valdaja sadamaseaduse tähenduses, sealhulgas nende
Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 725/2004 artikli 2 punktis 11 määratletud
sadamarajatised, ja sadamates tööde ning varustuse haldamisega tegelev üksus;
24) veeliikluse juhtimise keskus;
25) intelligentse transpordisüsteemi operaator liiklusseaduse tähenduses;
26) krediidiasutus Euroopa Parlamendi ja nõukogu määruse (EL) nr 575/2013, krediidiasutuste ja
investeerimisühingute suhtes kohaldatavate usaldatavusnõuete kohta ja määruse (EL) nr
648/2012 muutmise kohta (ELT L 176, 27.06.2013, lk 1–337), artikli 4 punkti 1 tähenduses;
27) kauplemiskoha korraldaja väärtpaberituru seaduse tähenduses;
3 / 34
28) keskne vastaspool Euroopa Parlamendi ja nõukogu määruse (EL) nr 648/2012 börsiväliste
tuletisinstrumentide, kesksete vastaspoolte ja kauplemisteabehoidlate kohta (ELT L 201,
27.07.2012, lk 1–59), artikli 2 punkti 1 tähenduses;
29) üksus, kes tegeleb ravimiseaduse tähenduses ravimi, välja arvatud veterinaarravimi Euroopa
Parlamendi ja nõukogu määruse (EL) 2019/6, mis käsitleb veterinaarravimeid ning millega
tunnistatakse kehtetuks direktiiv 2001/82/EÜ (ELT L 4, 07.01.2019, lk 43–67), artikli 4 punkti 1
tähenduses, uurimise ja arendamisega;
30) Eurostati klassifikaatori NACE Revision 2 C jao jaotises 21 osutatud põhifarmaatsiatoote ja
ravimipreparaadi tootmisega tegelev üksus;
31) üksus, kes toodab Euroopa Parlamendi ja nõukogu määruse (EL) 2022/123, mis käsitleb
Euroopa Ravimiameti suuremat rolli ravimite ja meditsiiniseadmete alases kriisivalmiduses ja -
ohjes, (ELT L 20, 31.01.2022, lk 1–37), artikli 22 tähenduses rahvatervise hädaolukorras kriitilise
tähtsusega meditsiiniseadet (rahvatervise hädaolukorra esmatähtsate meditsiiniseadmete loetelu);
32) joogivee veeseaduse § 17 lõike 1 tähenduses varustaja ja jaotaja, välja arvatud jaotaja, kelle
puhul joogivee jaotamine on väheoluline osa tema üldisest muude tarbekaupade ja kaupade
tarnimistegevusest;
33) ettevõtja, kes tegeleb nõukogu direktiivi 91/271/EMÜ asulareovee puhastamise kohta (EÜT
L 135, 30.05.1991, lk 40–52) artikli 2 punktides 1, 2 ja 3 määratletud asulareovee, olmereovee
või tööstusreovee kogumise, ärajuhtimise või puhastamisega, välja arvatud ettevõtja, kelle puhul
asulareovee, olmereovee või tööstusreovee kogumine, ärajuhtimine või puhastamine on
väheoluline osa tema üldisest tegevusest;
34) interneti vahetuspunkti teenuse osutaja;
35) domeeninimesüsteemide süsteemi teenuse osutaja, välja arvatud juurnimeserveri operaator;
36) pilvandmetöötlusteenuse osutaja;
37) andmekeskusteenuse osutaja;
38) sisulevivõrguteenuse osutaja;
39) hallatud teenuse osutaja;
40) hallatud turbeteenuste osutaja;
41) kosmosepõhise teenuse osutamist toetav maapealse taristu operaator, kes on Eesti Vabariigi
või eraõigusliku isiku omandis, hallata või käitada, kuid kes ei ole elektroonilise side võrgu
pakkuja;
42) postiteenuse osutaja postiseaduse tähenduses, sealhulgas kulleriteenuse osutaja;
43) ettevõtja, kelle põhitegevus on jäätmeseaduse tähenduses jäätmekäitlus, sealhulgas
jäätmekäitluse järelevalve ja jäätmete kõrvaldamiseks mõeldud jäätmekäitluskoha järelhooldus;
44) ettevõtja, kes tegeleb Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 1907/2006, mis
käsitleb kemikaalide registreerimist, hindamist, autoriseerimist ja piiramist (REACH) ja millega
asutatakse Euroopa Kemikaalide Agentuur ning muudetakse direktiivi 1999/45/EÜ ja
tunnistatakse kehtetuks nõukogu määrus (EMÜ) nr 793/93, komisjoni määrus (EÜ) nr 1488/94
4 / 34
ning samuti nõukogu direktiiv 76/769/EMÜ ja komisjoni direktiivid 91/155/EMÜ, 93/67/EMÜ,
93/105/EÜ ja 2000/21/EÜ (ELT L 396, 30.12.2006, lk 1–850), artikli 3 punktides 9 ja 14
osutatud ainete valmistamisega ning ainete või segude levitamisega, ja ettevõtja, kes toodab
ainetest või segudest kõnealuse määruse artikli 3 punktis 3 määratletud tooteid;
45) Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 178/2002, millega sätestatakse toidualaste
õigusnormide üldised põhimõtted ja nõuded, asutatakse Euroopa Toiduohutusamet ja
kehtestatakse toidu ohutusega seotud menetlused (EÜT L 31, 01.02.2002, lk 1–24 / eestikeelne
eriväljaanne: peatükk 15, köide 006, lk 463–486), artikli 3 punktis 2 määratletud
toidukäitlemisettevõtja, kes tegeleb hulgimüügi, tööstusliku tootmise ja töötlemisega;
46) Euroopa Parlamendi ja nõukogu määruse (EL) 2017/745, milles käsitletakse
meditsiiniseadmeid, millega muudetakse direktiivi 2001/83/EÜ, määrust (EÜ) nr 178/2002 ja
määrust (EÜ) nr 1223/2009 ning millega tunnistatakse kehtetuks nõukogu direktiivid
90/385/EMÜ ja 93/42/EMÜ (ELT L 117, 05.05.2017, lk 1–175), artikli 2 punktis 1 määratletud
meditsiiniseadet tootev üksus ning Euroopa Parlamendi ja nõukogu määruse (EL) 2017/746 (ELT
L 117, 05.05.2017, lk 176–332) artikli 2 punktis 2 määratletud in vitro
diagnostikameditsiiniseadmeid tootev üksus, välja arvatud käesoleva paragrahvi punktis 31
osutatud meditsiiniseadet tootev üksus;
47) Eurostati klassifikaatori NACE Revision 2 C jao jaotistes 26, 27, 28, 29 ja 30 osutatud
majandustegevusega tegelev ettevõtja;
48) internetipõhise kauplemiskoha pakkuja;
49) veebipõhise otsingumootori pakkuja;
50) sotsiaalvõrguteenuse platvormi pakkuja;
51) teadusasutus.
(13) Käesolevat seadust kohaldatakse üksuse suhtes olenemata tema suurusest, kui üksus on:
1) üldkasutatava elektroonilise side võrgu pakkuja;
2) üldkasutatava elektroonilise side teenuse osutaja;
3) usaldusteenuse osutaja;
4) tippdomeeninimede registri pidaja;
5) domeeninimede registreerimise teenuseid osutav üksus;
6) domeeninimede süsteemi teenuse osutaja;
7) keskvalitsuse avaliku halduse üksus;
8) elutähtsa teenuse osutaja.
(14) Käesolevat seadust kohaldatakse üksuse suhtes olenemata tema suurusest, kui üksus vastab
vähemalt ühele järgmisele tingimusele:
1) ta on sellise teenuse ainuosutaja, mis on kriitilise tähtsusega ühiskondliku või
majandustegevuse säilitamiseks;
5 / 34
2) tema osutatava teenuse häirel võib olla oluline mõju avalikule turvalisusele, avalikule
julgeolekule või rahva tervisele;
3) tema osutatava teenuse häire võib tuua kaasa olulise süsteemse riski, eelkõige sektorites, kus
sellisel häirel võib olla piiriülene mõju;
4) ta on kriitilise tähtsusega oma erilise olulisuse tõttu riiklikul või piirkondlikul tasandil
konkreetse sektori või teenuseliigi või riigi muude üksteisest sõltuvate sektorite jaoks.
(15) Arvestades käesoleva paragrahvi lõike 14 punktides 1, 2, 3 ja 4 sätestatut, kohaldatakse
käesolevat seadust üksuse suhtes olenemata tema suurusest, kui üksus on:
1) kohaliku tasandi avaliku halduse üksus;
2) riigi asutatud äriühing, kes osutab riigile kui ainuaktsionärile kinnisvarateenust;
3) riigi tegevusvaru haldaja;
4) kriitilise tähtsusega side-, mereraadioside ja operatiivraadiosidevõrgu teenuse osutaja;
5) avaliku teabe seaduse tähenduses andmekogu vastutav töötleja ja volitatud töötleja;
6) Arenguseire Keskus;
7) kohaliku omavalitsuse üksuste liit;
8) Riigimetsa Majandamise Keskus;
9) tervishoiuteenuste korraldamise seaduses sätestatud perearstiabi osutaja, kes ei ole elutähtsa
teenuse osutaja;
10) seaduse alusel asutatud avalik-õiguslik juriidiline isik.
(16) Vabariigi Valitsus võib käesoleva paragrahvi lõike 14 punktides 1, 2, 3 ja 4 kriteeriumitest
lähtuvalt määrata määrusega valdkonna või sektori, milles oleva isiku suhtes kohaldatakse
teenuse osutaja kohta sätestatut olenemata tema suurusest.“;
2) paragrahvi 1 täiendatakse lõikega 21 järgmises sõnastuses:
„(21) Käesoleva paragrahvi lõikes 2 sätestatud erisust ei kohaldata, kui tegemist on
usaldusteenuse osutajaga.“;
3) paragrahvi 1 lõige 3 tunnistatakse kehtetuks;
4) paragrahvi 1 lõige 4 muudetakse ja sõnastatakse järgmiselt:
„(4) Kui võrgu- ja infosüsteemi pidamise ning küberintsidendist teavitamise nõuded on
reguleeritud välislepinguga, Euroopa Liidu õigusaktiga või muu seadusega, kohaldatakse
käesolevat seadust välislepingust, Euroopa Liidu õigusaktist või muust seadusest tulenevate
erisustega.“;
5) paragrahvi 1 täiendatakse lõikega 41 järgmises sõnastuses:
6 / 34
„(41) Käesoleva paragrahvi lõikes 4 sätestatud erisuste esinemise korral võib valdkonna eest
vastutav minister määrusega täpsustada käesoleva seaduse nõuete järgimise ulatust ja tingimusi.“;
6) seadust täiendatakse §-ga 11 järgmises sõnastuses:
㤠11. Jurisdiktsioon ja territoriaalsus
(1) Teenuse osutaja suhtes kohaldatakse selle riigi jurisdiktsiooni, kus on tema tegevuskoht või
kus ta on asutatud.
(2) Erandina käesoleva paragrahvi lõikest 1, on:
1) üldkasutatava elektroonilise side võrgu pakkuja või üldkasutatava elektroonilise side teenuse
osutaja jurisdiktsiooniks Euroopa Liidu liikmesriik, kus ta oma teenuseid osutab;
2) digitaalse teenuse osutaja jurisdiktsiooniks Euroopa Liidu liikmesriik, kus on tema peamine
tegevuskoht;
3) keskvalitsuse avaliku halduse üksuse ja kohaliku tasandi avaliku halduse üksuse
jurisdiktsiooniks Eesti Vabariik.
(3) Digitaalse teenuse osutaja peamise tegevuskoht selgitakse välja järgnevas järjekorras:
1) peamine tegevuskoht on Euroopa Liidu liikmesriik, kus turvameetmeid käsitlevad otsused
valdavalt tehakse;
2) kui peamist tegevuskohta ei ole võimalik käesoleva lõike punkti 1 kohaselt kindlaks teha või
kui selliseid otsuseid ei tehta Euroopa Liidus, käsitatakse peamise tegevuskohana Euroopa Liidu
liikmesriiki, kus toimub küberturvalisuse alane tegevus;
3) kui peamist tegevuskohta ei ole võimalik käesoleva lõike punkti 2 kohaselt kindlaks teha,
käsitatakse peamise tegevuskohana Euroopa Liidu liikmesriiki, mille territooriumil on digitaalse
teenuse osutajal tegevuskoht Euroopa Liidus kõige suurema arvu töötajatega.
(4) Erisusena käesoleva paragrahvi lõikest 3, on digitaalse teenuse osutaja jurisdiktsiooniks
digitaalse teenuse osutaja esindaja tegevuskoht või kus ta on asutatud, kui nimetatud esindaja on
määratud.
(5) Kui digitaalse teenuse osutajal on kohustus määrata digitaalse teenuse osutaja esindaja, kuid
ta pole seda määranud Euroopa Liidus, võib käesolevas seaduses sätestatud nõudeid rikkuva
digitaalse teenuse osutaja vastu õiguslikke meetmeid iga Euroopa Liidu liikmesriik, kus
digitaalse teenuse osutaja enda teenuseid osutab.
(6) Digitaalse teenuse osutaja esindaja määramine ei piira õiguslike meetmete võtmist digitaalse
teenuse osutaja suhtes.“;
7) paragrahvi 2 teksti täiendatakse punktidega 11–14 järgmises sõnastuses:
„11) üksus – füüsiline isik või juriidiline isik, kes on asutatud ja keda tunnustatakse tema
tegevuskohajärgse riigisisese õiguse kohaselt, kes võib enda nimel omada õigusi ja kanda
kohustusi;
7 / 34
12) keskvalitsuse avaliku halduse üksus – üksuse üldnimetus, mille puhul on mõeldud üksustest
Eesti Panka, Finantsinspektsiooni, kohtuasutust, riigi valimisteenistust, Riigikogu Kantseleid,
Riigikontrolli, Vabariigi Presidendi Kantseleid, valitsusasutust, valitsusasutuse hallatav
riigiasutust ja Õiguskantsleri Kantseleid;
13) kohaliku tasandi avaliku halduse üksus – üksuse üldnimetus, mille puhul on mõeldud
üksustest kohaliku omavalitsuse üksust, valla või linna ametiasutust, valla või linna ametiasutuse
hallatavat asutust, osavalda, linnaosa, osavalla või linnaosa ametiasutust, osavalla või linnaosa
ametiasutuse hallatavat asutust ning kohaliku omavalitsuse üksuste ühisametit ja -asutust;
14) küberturvalisus – Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881, mis käsitleb
ENISAt (Euroopa Liidu Küberturvalisuse Amet) ning info- ja kommunikatsioonitehnoloogia
küberturvalisuse sertifitseerimist ja millega tunnistatakse kehtetuks määrus (EL) nr 526/2013
(küberturvalisuse määrus) (ELT L 151, 07.06.2019, lk 15–69), artikli 2 punktis 1 määratletud
küberturvalisus;“;
8) paragrahvi 2 punktis 2 asendatakse sõna „tegevusele“ sõnaga „sündmusele“;
9) paragrahvi 2 teksti täiendatakse punktidega 31–39 järgmises sõnastuses:
„31) ulatuslik küberintsident – küberintsident, mille põhjustatud häired on niivõrd laialdased, et
üks liikmesriik ei suuda nendega toime tulla või millel on märkimisväärne mõju vähemalt kahele
liikmesriigile;
32) küberintsidendi käsitlemine – toimingud ja menetlused, mille eesmärk on küberintsidenti
ennetada, tuvastada, analüüsida, ohjata või lahendada ja sellest taastuda;
33) risk – küberintsidendist tingitud kahju või häire võimekus, mida tuleb väljendada sellise kahju
või katkestuse ulatust ja kõnealuse küberintsidendi esinemise võimalikkust arvesse võtva
kombineeritud näitajana;
34) küberoht – Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881 artikli 2 punktis 8
määratletud küberoht;
35) oluline küberoht – küberoht, mille tehniliste näitajate põhjal võib eeldada, et sellel võib olla
tõsine mõju teenuse osutaja süsteemile või üksuse süsteemide kasutajatele, tekitades
märkimisväärset varalist või mittevaralist kahju;
36) nõrkus – IKT-toote või -teenuse nõrkus, tundlikkus või viga, mida küberohu tekitaja võib ära
kasutada;
37) IKT-toode – Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881 artikli 2 punktis 12
määratletud IKT-toode;
38) IKT-teenus – Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881 artikli 2 punktis 13
määratletud IKT-teenus;
39) IKT-protsess – Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881 artikli 2 punktis 14
määratletud IKT-protsess;“;
8 / 34
10) paragrahvi 2 punkt 4 tunnistatakse kehtetuks;
11) paragrahvi 2 teksti täiendatakse punktidega 41–47 järgmises sõnastuses:
„41) interneti vahetuspunkt – võrgustik, mis võimaldab rohkem kui kahe sõltumatu võrgu
omavahelist ühendamist, eelkõige selleks, et hõlbustada internetiliikluse vahetust; see võimaldab
üksnes autonoomsete süsteemide omavahelist ühendamist ega nõua kahe osaleva autonoomse
süsteemi vahel toimuva internetiliikluse kulgemist mõne kolmanda autonoomse süsteemi kaudu,
ei muuda sellist liiklust ega sekku sellesse mingil muul viisil;
42) domeeninimede süsteem – hierarhiline ja hajus nimesüsteem, mis võimaldab tuvastada
internetiteenuseid ja -ressursse, võimaldades lõppkasutaja seadmetel kasutada
internetimarsruutimise ja ühenduvuse teenuseid, et jõuda nende teenuste ja ressurssideni;
43) domeeninimede süsteemi teenuse osutaja – üksus, kes osutab interneti lõppkasutajatele
üldsusele kättesaadavat domeeninime rekursiivse teisendamise teenust, või kolmandatele
isikutele kasutuseks domeeninime autoriteetse teisendamise teenust, välja arvatud
juurnimeserverid;
44) tippdomeeninimede register – üksus, kellele on delegeeritud Eesti maatunnusega seotud
tippdomeen ja kes vastutab selle tippdomeeni haldamise eest, sealhulgas tippdomeeni
alldomeeninimede registreerimise eest ja tippdomeeni tehnilise toimimise eest, sealhulgas
nimeserverite käitamise, andmebaaside hooldamise ning nimeserverite vahel tippdomeeni
tsoonifailide jaotamise eest, olenemata sellest, kas mõne neist toimingutest teeb üksus ise või
ostetakse need sisse, kuid välja arvatud olukorrad, kus tippdomeeninimesid kasutab register ise
ainult enda tarbeks;
45) domeeninimede registreerimise teenuseid osutav üksus – tippdomeeninimede registri
registripidaja või registripidaja nimel tegutsev esindaja, näiteks registreerimisega seotud
privaatsusteenuse või proksiteenuse osutaja või edasimüüja;
46) usaldusteenuse osutaja – Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 e-
identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul ja millega tunnistatakse
kehtetuks direktiiv 1999/93/EÜ (ELT L 257, 28.08.2014, lk 73–114), artikli 3 punktis 19
määratletud usaldusteenuse osutaja;
47) kvalifitseeritud usaldusteenuse osutaja – Euroopa Parlamendi ja nõukogu määruse (EL) nr
910/2014 artikli 3 punktis 20 määratletud kvalifitseeritud usaldusteenuse osutaja;“;
12) paragrahvi 2 punktid 5–7 muudetakse ja sõnastatakse järgmiselt:
„5) internetipõhine kauplemiskoht – internetipõhine kauplemiskoht tarbijakaitseseaduse
tähenduses;
9 / 34
6) veebipõhine otsingumootor – Euroopa Parlamendi ja nõukogu määruse (EL) 2019/1150, mis
käsitleb õigluse ja läbipaistvuse edendamist veebipõhiste vahendusteenuste ärikasutajate jaoks
(ELT L 186, 11.07.2019, lk 57–79), artikli 2 punktis 5 määratletud veebipõhine otsingumootor;
7) pilvandmetöötlusteenus – infoühiskonna teenus, mis võimaldab jagatavate
andmetöötlusressursside skaleeritava ja paindliku kogumi nõudepõhist haldamist ning ulatuslikku
kaugpääsu sellele kogumile, sealhulgas juhul, kui need ressursid paiknevad hajutatult erinevates
kohtades;“;
13) paragrahvi 2 teksti täiendatakse punktidega 71–75 järgmises sõnastuses:
„71) andmekeskusteenus – teenus, mis hõlmab struktuure või struktuuride rühmi, mis on ette
nähtud andmete talletamiseks, töötlemiseks ja edastamiseks kasutatavate infotehnoloogia- ja
võrguseadmete keskseks majutamiseks, omavahel sidumiseks ja käitamiseks, sealhulgas kõiki
energiajaotuse ja keskkonnakontrolliga seotud vahendeid ja taristuid;
72) sisulevivõrk – geograafiliselt hajutatud serverite võrk, mille eesmärk on tagada digisisu ja
infoühiskonna teenuse laialdane kättesaadavus, neile juurdepääsetavus või nende kiire
edastamine internetikasutajatele sisu- ja teenusepakkujate nimel;
73) sotsiaalvõrguteenuse platvorm – platvorm, mis võimaldab lõppkasutajatel vastastikku
ühendust pidada, sisu jagada, teavet otsida ja suhelda mitme seadme kaudu, eelkõige vestluste,
postituste, videote ja soovituste vormis;
74) digitaalse teenuse osutaja – üksuse üldnimetus, mille puhul on mõeldud üksustest
domeeninimede süsteemi teenuse osutajat, tippdomeeninimede registrit, domeeninimede
registreerimise teenuseid osutavat üksust, pilvandmetöötlusteenuse osutajat, andmekeskusteenuse
osutajat, sisulevivõrkude pakkujat, hallatud teenuse osutajat, hallatud turbeteenuste osutajat,
internetipõhise kauplemiskoha, veebipõhise otsingumootori või sotsiaalvõrguteenuse platvormi
pakkujat;
75) digitaalse teenuse osutaja esindaja – Euroopa Liidus asuv füüsiline või juriidiline isik, kes on
määratud tegutsema väljaspool Euroopa Liitu asuva digitaalse teenuse osutaja nimel ja kelle
poole võib Riigi Infosüsteemi Amet pöörduda seoses digitaalse teenuse osutaja kohustustega;“;
14) paragrahvi 2 teksti täiendatakse punktidega 9–13 järgmises sõnastuses:
„9) üldkasutatav elektroonilise side võrk – elektroonilise side seaduse tähenduses üldkasutatav
elektroonilise side võrk;
10) elektroonilise side teenus – elektroonilise side seaduse tähenduses elektroonilise side teenus;
11) hallatud teenuse osutaja – üksus, kes osutab teenuseid, mis on seotud IKT-toodete, võrkude,
taristu, rakenduste või muude süsteemide paigaldamise, haldamise, käitamise või hooldamisega
toe või aktiivse haldamise kaudu kas klientide ruumides või kaugteel;
12) hallatud turbeteenuste osutaja – hallatud teenuste osutaja, kes viib ellu küberturvalisuse
riskijuhtimisega seotud tegevust või pakub selleks tuge;
10 / 34
13) teadusasutus – üksus, kelle peamine eesmärk on viia ellu rakendusuuringuid või
tootearendust eesmärgiga kasutada selliste teadusuuringute tulemusi ärilistel eesmärkidel, kuid
mis ei hõlma haridusasutusi.“;
15) paragrahvi 3 lõige 1 tunnistatakse kehtetuks;
16) paragrahvi 3 täiendatakse lõigetega 11–14 järgmises sõnastuses:
„(11) Teenuse osutaja käesoleva seaduse tähenduses on elutähtis üksus ja oluline üksus.
(12) Elutähtis üksus on:
1) kvalifitseeritud usaldusteenuse osutaja;
2) tippdomeeninimede registri pidaja;
3) domeeninimede süsteemi teenuse osutaja;
4) keskvalitsuse avaliku halduse üksus;
5) kohaliku tasandi avaliku halduse üksus;
6) elutähtsa teenuse osutaja;
7) kriitilise tähtsusega side-, mereraadioside ja operatiivraadiosidevõrgu teenuse osutaja;
8) riigi tegevusvaru haldaja;
9) üldkasutatava elektroonilise side võrgu või üldkasutatava elektroonilise side teenuse pakkuja,
kellel on majandusaasta jooksul keskmiselt 50 või rohkem töötajat ja kelle aasta bilansimaht või
aastakäive ületab 10 miljonit eurot, arvestades keskmise suurusega ettevõtja määratlust Euroopa
Komisjoni soovituses 2003/361/EÜ;
10) üksus, kellel on majandusaasta jooksul keskmiselt 250 või rohkem töötajat ja kelle aasta
bilansimaht ületab 50 miljonit eurot või aastakäive ületab 43 miljonit eurot, arvestades keskmise
suurusega ettevõtja määratlust Euroopa Komisjoni soovituses 2003/361/EÜ, ning kes on osutatud
vähemalt ühes käesoleva seaduse § 1 lõike 12 punktides 1–51.
(13) Oluline üksus on:
1) üldkasutatava elektroonilise side võrgu või üldkasutatava elektroonilise side teenuse pakkuja,
kes ei ole elutähtis üksus;
2) usaldusteenuse osutaja, kes ei ole elutähtis üksus;
3) tervishoiuteenuste korraldamise seaduses sätestatud perearstiabi osutaja, kes ei ole elutähtsa
teenuse osutaja;
4) avaliku teabe seaduse tähenduses andmekogu vastutav töötleja ja volitatud töötleja, kes ei ole
elutähtis üksus;
5) Arenguseire Keskus;
6) kohaliku omavalitsuse üksuste liit;
7) Riigimetsa Majandamise Keskus;
11 / 34
8) seaduse alusel asutatud avalik-õiguslik juriidiline isik;
9) riigi asutatud äriühing, kes osutab riigile kui ainuaktsionärile kinnisvarateenust;
10) üksus, kellel on majandusaasta jooksul keskmiselt rohkem kui 50 töötajat ja kelle aasta
bilansimaht on vahemikus 10–43 miljonit eurot ning aastakäive on vahemikus 10–50 miljonit
eurot, arvestades keskmise suurusega ettevõtja määratlust Euroopa Komisjoni soovituses
2003/361/EÜ, ja kes on osutatud vähemalt ühes käesoleva seaduse § 1 lõike 12 punktides 1–51.
(14) Käesoleva seaduse § 1 lõike 16 alusel antud Vabariigi Valitsuse määruse andmisel
sätestatakse samas määruses, kas teenuse osutaja on elutähtis üksus või oluline üksus.“;
17) paragrahvi 3 lõige 2 tunnistatakse kehtetuks;
18) paragrahvi 3 lõige 3 muudetakse ja sõnastatakse järgmiselt:
„(3) Riigi Infosüsteemi Amet tuvastab iga kahe aasta tagant käesoleva seaduse kohaldamisalas
olevad teenuse osutajad ja domeeninimede registreerimise teenuseid osutavad üksused, kes
tegutsevad Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555, mis käsitleb meetmeid,
millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust
(EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL)
2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk 80–152), elutähtsate
üksuste ja oluliste üksustena ning domeeninimede registreerimise teenuseid osutavate
üksustena.“;
19) paragrahvi 3 täiendatakse lõigetega 31–34 järgmises sõnastuses:
„(31) Teenuse osutaja ja domeeninimede registreerimise teenuseid osutav üksus esitab Riigi
Infosüsteemi Ametile vähemalt järgmise teabe:
1) nimi ja registrikood;
2) aadress ja ajakohased kontaktandmed, sealhulgas e-posti aadressid, interneti protokolli
aadresside vahemikud ja telefoninumbrid;
3) asjakohasel juhul Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 lisas I või II
osutatud asjakohane sektor ja allsektor;
4) asjakohasel juhul nende riikide loetelu, kus ta osutab Euroopa Parlamendi ja nõukogu
direktiivi (EL) 2022/2555 kohaldamisalasse kuuluvaid teenuseid.
(32) Teenuse osutaja ja domeeninimede registreerimise teenuseid osutav üksus teatab kõigist
käesoleva paragrahvi lõike 31 kohaselt esitatud teabes toimunud muudatustest viivitamata ja igal
juhul kahe nädala jooksul alates muutuse kuupäevast.
(33) Riigi Infosüsteemi Amet teatab iga kahe aasta järel:
1) Euroopa Komisjonile ja Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artiklis 14
nimetatud koostöörühmale (edaspidi koostöörühm) iga sama direktiivi lisas I või II osutatud
12 / 34
sektori ning allsektori kohta käesoleva paragrahvi lõikes 3 nimetatud teenuse osutajate loetelus
sisalduvate teenuse osutajate arvu;
2) Euroopa Komisjonile käesoleva seaduse § 1 lõigete 13 ja 14 kohaselt kindlaks määratud
teenuse osutajate arvu, Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 lisas I ja II
osutatud sektori ning allsektori info, nende osutatavate teenuste liigi info koos teabega, millise
käesoleva seaduse § 1 lõike 14 punktide 1–4 kohaselt need teenuse osutajad kindlaks määrati.
(34) Teenuse osutaja ja domeeninimede registreerimise teenuseid osutav üksus võib lähtuda
Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 3 lõike 4 alusel antud Euroopa
Komisjoni suunistest ja vormidest, kui need on kehtestatud.“;
20) paragrahvi 3 lõige 4 tunnistatakse kehtetuks;
21) paragrahv 4 muudetakse ja sõnastatakse järgmiselt:
㤠4. Digitaalse teenuse osutaja
(1) Digitaalse teenuse osutaja esitab Riigi Infosüsteemi Ametile vähemalt järgmise teabe:
1) nimi ja registrikood;
2) asjakohasel juhul teabe Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 lisas I või II
osutatud asjakohase sektori, allsektori ja üksuse liigi kohta;
3) peamise tegevuskoha ja Euroopa Liidus asuvate muude ametlike tegevuskohtade aadress või
kui tal Euroopa Liidus tegevuskohta ei ole või ta ei ole seal asutatud, tema digitaalse teenuse
osutaja esindaja aadress;
4) enda ja asjakohasel juhul digitaalse teenuse osutaja esindaja ajakohased kontaktandmed,
sealhulgas e-posti aadressid ja telefoninumbrid;
5) liikmesriigid, kus teenust osutatakse;
6) interneti protokolli aadresside vahemikud.
(11) Digitaalse teenuse osutaja teatab kõigist käesoleva paragrahvi lõike 1 kohaselt esitatud teabes
toimunud muudatustest viivitamata ja igal juhul hiljemalt kolme kuu jooksul alates muutuse
kuupäevast.
(12) Riigi Infosüsteemi Amet esitab käesoleva paragrahvi lõike 1 punktides 1–5 osutatud teabe
põhjendamatu viivituseta Euroopa Liidu Küberturvalisuse Ametile.
(13) Riigi Infosüsteemi Amet võib esitada Euroopa Liidu Küberturvalisuse Ametile taotluse
Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 27 lõikes 1 nimetatud registrile
juurdepääsu saamiseks.
(14) Digitaalse teenuse osutaja võib lähtuda Euroopa Parlamendi ja nõukogu direktiivi (EL)
2022/2555 artikli 3 lõike 4 alusel antud Euroopa Komisjoni suunistest ja vormidest, kui need on
kehtestatud.
13 / 34
(2) Eestis teenust osutav, kuid väljaspool Euroopa Liitu asutatud digitaalse teenuse osutaja peab
määrama digitaalse teenuse osutaja esindaja Eestis või mõnes teises Euroopa Liidu liikmesriigis,
kus ta teenust osutab või kus ta on asutatud, ja tegema püsivalt avalikult kättesaadavaks
nimetatud esindaja kontaktandmed.“;
22) paragrahvi 5 muudetakse ja sõnastatakse järgmiselt:
„§ 5. Pädevad asutused ja ülesanded
(1) Vabariigi Valitsus võtab vastu Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555
artiklis 7 nimetatud küberturvalisuse strateegia, mis võib olla koostatud muu õigusakti alusel
koostatava dokumendi osa. Justiits- ja Digiministeerium koordineerib küberturvalisuse strateegia
koostamist, sealhulgas täidab Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 7
lõigetes 3 ja 4 sätestatud nõudeid.
(2) Justiits- ja Digiministeerium ning Riigi Infosüsteemi Amet osalevad koostöörühma tegevustes
vastavalt koostöörühma ülesannetele.
(3) Riigi Infosüsteemi Amet täidab Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555:
1) artikli 8 lõikes 1 nimetatud pädeva asutuse ja lõikes 3 nimetatud ühtse kontaktpunkti
ülesandeid;
2) artikli 9 lõikes 1 nimetatud ulatuslike küberintsidentide ja kriiside ohjamise eest vastutava
pädeva asutuse ülesandeid;
3) artikli 10 lõikes 1 nimetatud küberturbe intsidentide lahendamise üksuse ülesandeid;
4) artikli 12 lõikes 1 nimetatud nõrkuste koordineeritud avalikustamise koordinaatori ülesandeid;
5) artiklis 15 nimetatud riiklike küberturbe intsidentide lahendamise üksuste võrgustikus
osalemise ülesandeid;
6) artiklis 16 nimetatud Euroopa küberkriisiga tegelevate kontaktasutuste võrgustikus osalemise
ülesandeid.
(4) Küberturbe intsidentide lahendamise üksus peab:
1) hõlmama oma tegevustesse Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 lisades
I ja II osutatud sektoreid, allsektoreid või üksuste liike ning vastutama küberintsidentide
käsitlemise eest kindla menetluse kohaselt;
2) tagama oma sidekanalite laialdase kättesaadavuse, vältides nõrku lülisid, ja kasutama
mitmesuguseid vahendeid, mis võimaldavad tal teistega ning teistel temaga igal ajal ühendust
võtta;
3) määrama kindlaks sidekanalid ja tegema need oma sihtrühmadele ning koostööpartneritele
teatavaks;
4) tagama, et tema ametiruumid ja tööd toetavad süsteemid asuvad turvalises kohas;
5) tagama, et tal on olemas päringute haldamiseks ja suunamiseks sobiv süsteem, mis võimaldab
ka tööde tõhusat üle andmist;
14 / 34
6) tagama oma tegevuse konfidentsiaalsuse ja usaldusväärsuse;
7) omama piisavat arvu töötajaid ja ametnikke, et tagada enda teenuste pidev kättesaadavus;
8) tagama oma töötajatele ja ametnikele asjakohase väljaõppe;
9) oma teenuste toimepidevuse tagamiseks omama varusüsteeme ja -tööruume.
(5) Küberturbe intsidentide lahendamise üksusel on järgmised ülesanded ja volitused:
1) osaleb käesoleva seaduse §-s 175 sätestatud vastastikuses hindamises;
2) teeb koostööd teiste küberturbe intsidentide lahendamise üksustega;
3) võib teha kolmandate riikide riiklike küberturbe intsidentide lahendamise üksustega või
samaväärsete kolmandate riikide asutustega koostööd, eelkõige küberturvalisuse alase abi
andmiseks;
4) teeb koostööd teenuse osutajate sektoripõhiste või -vaheliste kogukondadega, sealhulgas
vajadusel vahetades nendega teavet arvestades käesoleva seaduse §-s 175 sätestatud nõudeid.
5) võib osaleda rahvusvahelistes koostöövõrgustikes;
6) korraldab küberohtude, nõrkuste ja intsidentide seiret ning analüüsi riiklikul tasandil;
7) taotluse korral osutab abi asjaomastele teenuse osutajatele nende süsteemide reaalajas või
reaalajalähedase seirega;
8) tagab küberohtude, nõrkuste ja küberintsidentide kohta varajaste hoiatuste, hoiatuste ja teadete
edastamise ning teabe levitamise asjaomastele teenuse osutajatele, pädevatele asutustele ja
muudele asjaomastele sidusrühmadele, võimaluse korral reaalajalähedaselt;
9) lahendab küberintsidente ja asjakohasel juhul abistab asjaomaseid teenuse osutajaid;
10) kogub ja analüüsib kohtuekspertiisiandmeid, analüüsib järjepidevalt riske ja küberintsidente,
ning tagab küberturvalisuse alast olukorrateadlikkust;
11) potentsiaalselt olulise mõjuga nõrkuste kindlaks tegemiseks ennetavalt kontrollib teenuse
osutaja taotlusel teenuse osutaja süsteemi;
12) osaleb riiklike küberturbe intsidentide lahendamise üksuste võrgustikus ja osutab teisele
võrgustiku liikme taotluse korral samale liikmele oma võimekusele ja pädevusele vastavat
vastastikust abi;
13) tegutseb käesoleva paragrahvi lõike 3 punktis 4 sätestatud ülesannetes;
14) panustab teenuse osutajatega ja asjaomaste sidusrühmadega teabe vahetamiseks kasutatavate
turvaliste teabejagamisvahendite kasutuselevõtmisse;
15) võib teenuse osutaja üldkasutavat süsteemi ennetavalt väliselt kontrollida, kui see toimub
nõrkade või ebaturvaliselt konfigureeritud süsteemi tuvastamiseks ja asjaomase teenuse osutaja
teavitamiseks, ning sellisel kontrollimisel ei tohi olla negatiivset mõju teenuse osutaja osutatava
teenuse toimimisele;
16) loob koostöösuhteid erasektori asjaomaste sidusrühmadega.
15 / 34
(6) Küberturbe intsidentide lahendamise üksus võib käesoleva paragrahvi lõike 5 punktides 6–14
sätestatud ülesandeid riski- või ohuprognoosi põhise lähenemisviisi alusel teatavaid ülesandeid
prioriseerida.
(7) Käesoleva paragrahvi lõike 4 punktis 16 nimetatud koostöö hõlbustamiseks toetab küberturbe
intsidentide lahendamise üksus ühtsete või standardsete tavade, liigitamissüsteemide ja
taksonoomiate kasutuselevõttu seoses küberintsidentide käsitlemise menetlustega, kriisiohjega
ning nõrkuste koordineeritud avalikustamisega.
(8) Küberturbe intsidentide lahendamise üksus käesoleva paragrahvi lõike 3 punktis 4 oleva
ülesande täitmisel:
1) tegutseb usaldusväärse vahendajana, hõlbustades vajadusel suhtlust nõrkusest teavitava
füüsilise või juriidilise isiku ja potentsiaalse nõrkusega IKT-toodete tootja või IKT-teenuste
osutaja vahel, tegutsedes ükskõik kumma poole taotlusel;
2) teeb kindlaks teavitatud potentsiaalse nõrkuse või nõrkusega seotud teenuse osutaja ja võtab
temaga ühendust;
3) abistab potentsiaalsest nõrkusest ja nõrkusest teavitavat füüsilist või juriidilist isikut;
4) peab läbirääkimisi nõrkusest avalikkuse teavitamise tähtaja üle;
5) haldab mitut teenuse osutajat mõjutavaid nõrkusi.
6) tagab, et teatatud nõrkusega seoses võetakse hoolikaid järelmeetmeid;
7) tagab potentsiaalsest nõrkusest või nõrkusest teatava füüsilise või juriidilise isiku
anonüümsuse;
8) teeb teise liikmesriigi poolt Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artiklis
15 nimetatud riiklike küberturbe intsidentide lahendamise üksuste võrgustikus nõrkuste
koordineeritud avalikustamise koordinaatori ülesandeid täitva küberturbe intsidentide
lahendamise üksusega koostööd, kui teates esitatud nõrkus võib oluliselt mõjutada teenuse
osutajaid rohkem kui ühes Euroopa Liidu liikmesriigis.
(9) Julgeolekuasutus täidab Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 8
lõikes 1 nimetatud pädeva asutuse ülesandeid käesoleva seaduse §-s 14 sätestatud ulatuses.“;
23) seadust täiendatakse §-ga 52 järgmises sõnastuses:
„§ 52. Piiriüleste elektrivoogude küberturvalisuse valdkonna pädev asutus
(1) Riigi Infosüsteemi Amet täidab Euroopa Komisjoni delegeeritud määruse (EL) 2024/1366,
millega täiendatakse Euroopa Parlamendi ja nõukogu määrust (EL) 2019/943 ning kehtestatakse
võrgueeskiri piiriüleste elektrivoogude küberturvalisust käsitlevate sektoripõhiste normide kohta
(ELT L, 24.05.2024, lk 1–44), artikli 4 lõikes 1 nimetatud pädeva asutuse ülesandeid.
(2) Valdkonna eest vastutav minister võib volitada Riigi Infosüsteemi Ametit käesoleva
paragrahvi lõikes 1 nimetatud ülesande täitmise edasi volitada, arvestades Euroopa Komisjoni
delegeeritud määruse (EL) 2024/1366 artikli 4 lõikes 3 ja halduskoostöö seaduses sätestatud
nõudeid.
16 / 34
(3) Vabariigi Valitsus võib Euroopa Komisjoni delegeeritud määruse (EL) 2024/1366 artikli 39
lõikes 4, artikli 40 lõikes 5 ning artikli 41 lõikes 4 viidatud ülesande täitmise edasi volitada
Euroopa Parlamendi ja nõukogu määruse (EL) 2019/943, milles käsitletakse elektrienergia
siseturgu (ELT L 158, 14.06.2019, lk 54–124), artikli 35 kohaselt asutatud piirkondlikule
koordineerimiskeskusele, arvestades halduskoostöö seaduses sätestatud nõudeid.“;
24) seadust täiendatakse §-ga 61 järgmises sõnastuses:
㤠61. Teenuse osutaja juhtorgani kohustused
(1) Teenuse osutaja juhtorgan kiidab heaks turvameetmed, jälgib nende rakendamist ja vastutab
nende täitmise eest.
(2) Teenuse osutaja juhtorgani liige peab läbima korrapäraselt erikoolitusi, mille õpiväljunditeks
on piisavate teadmiste ja oskuste omandamine, et mõista ja hinnata küberturvalisuse riske,
nendest tulenevat mõju teenuse osutaja osutatavatele teenustele ning viise riskide käsitlemiseks.
(3) Teenuse osutaja juhtorgan tagab, et teenuse osutaja töötajad ja ametnikud saavad
korrapäraselt sarnaseid koolitusi teemadel, mis on nimetatud käesoleva paragrahvi lõikes 2.“;
25) paragrahvi 7 lõige 1 muudetakse ja sõnastatakse järgmiselt:
„(1) Teenuse osutaja rakendab alaliselt asjakohased ja proportsionaalsed tehnilised, tegevuslikud
ning korralduslikud turvameetmed, et:
1) hallata riske, mis ohustavad teenuse osutaja tegevuses või teenuse osutamisel kasutatava
süsteemi turvalisust;
2) ennetada või minimeerida küberintsidendi mõju teenuse osutaja osutatava teenuse saajale ja
muule teenusele; ning;
3) ennetada, avastada ja lahendada küberintsidenti.“;
26) paragrahvi 7 lõike 2 punktid 1–3 muudetakse ja sõnastatakse järgmiselt:
„(2) Teenuse osutaja on turvameetmete rakendamisel kohustatud:
1) koostama ja kehtestama infoturvariskide kaalutlemise metoodika ja protseduurid;
2) koostama ja kehtestama infoturbe eesmärgid ja infoturvapoliitika;
3) koostama ja kehtestama küberintsidentide avastamise ja halduse protseduurid;
4) võtma kasutusele abinõud küberintsidendi mõju ja leviku vähendamiseks, sealhulgas vajaduse
korral piirama süsteemi kasutamist või juurdepääsu süsteemile;
5) tagama süsteemi talitluspidevuse, sh süsteemi varundus- ja taasteprotseduuride toimimise;
6) tagama süsteemi tarneahela turvalisuse, sh teenuse osutaja ja tema koostööpartnerite vaheliste
lepetes turvameetmetega seotud aspektide regulaarse ülevaatuse ning ajakohastamise;
7) tagama süsteemi hankimise, arendamise ja hooldamise turvalisuse, sh nõrkuste käsitlemise
ning avalikustamise;
17 / 34
8) kehtestama protsessi turvameetmete regulaarseks läbivaatuseks, turvameetmete tõhususe
hindamiseks ja infoturbe parendamiseks;
9) koolitama regulaarselt kõiki teenuse osutaja ametnikke ja töötajaid küberhügieeni ning
küberturvalisuse tagamise osas;
10) kasutama asjakohasel juhul krüptograafilisi meetmeid;
11) koostama ja kehtestama pääsuhalduse poliitika ja seotud protseduurijuhendid;
12) koostama ja kehtestama varade halduse põhimõtted ja seotud protseduurijuhendid;
13) asjakohasel juhul kasutama mitmik- või pidevautentimise meetodit või lahendust, turvalise
hääl-, video- ja tekstiside sidelahendust, ning kriisiolukorras kasutatavat turvalist sidelahendust;
14) viima läbi süsteemi riskide kaalutlemist, mille käigus koostatakse süsteemi turvalisust ja selle
toimepidevust mõjutavate ning küberintsidendi tekkimist põhjustavate riskide loetelu, määratakse
riskide realiseerumise tagajärgede raskusaste ning kirjeldatakse riskikäsitlusmeetmed.“;
27) paragrahvi 7 täiendatakse lõigetega 21–23 järgmises sõnastuses:
„(21) Käesoleva paragrahvi lõikes 2 nimetatud turvameetmete rakendamisel arvestatakse:
1) süsteemi kaitsetarvet;
2) teenuse osutaja eriomaseid vajadusi ja turvanõudeid;
3) kaasaegseid ja asjakohasel juhul Euroopa ning rahvusvahelisi standardeid;
4) turvameetmete rakendamiskulusid;
5) turvameetmete rakendamise proportsionaalsust, mille hindamisel võetakse arvesse teenuse
osutaja riskidele avatuse määra, teenuse osutaja suurust, küberintsidentide esinemise tõenäosust
ja nende tõsidust, sealhulgas küberintsidentide ühiskondlikku ning majanduslikku mõju;
6) kõiki ohte hõlmavat lähenemisviisi, mille eesmärk on kaitsta süsteeme ja nende süsteemide
füüsilist keskkonda küberintsidentide eest.
(22) Käesoleva paragrahvi lõike 2 punktis 6 nimetatud tarneahela turvalisusega seotud
turvameetmete asjakohasust kaaludes võtab teenuse osutaja arvesse:
1) koostööpartnerile eriomaseid nõrkusi, koostööpartneri toote üldist kvaliteeti ja
küberturvalisuse tavasid, sealhulgas toote turvalise arenduse korda;
2) Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 22 lõike 1 kohaselt
korraldatud kriitilise tähtsusega tarneahelate koordineeritud turberiski hindamiste tulemusi.
(23) Kui teenuse osutaja tuvastab, et ta ei rakenda käesoleva paragrahvi lõikes 2 sätestatud
turvameetmeid, võtab ta põhjendamatu viivituseta kõik vajalikud, asjakohased ja
proportsionaalsed parandusmeetmed turvameetmete rakendamiseks.“;
28) paragrahvi 7 täiendatakse lõikega 6 järgmises sõnastuses:
„(6) Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 21 lõike 5 tähenduses
Euroopa Komisjoni rakendusakti vastu võtmisel, millega sätestatakse tehnilised, metoodilised ja
18 / 34
vajaduse korral valdkondlikud nõuded turvameetmete rakendamiseks teenuse osutaja poolt,
lähtub rakendusaktis nimetatud teenuse osutaja rakendusaktiga kehtestatud nõuetest osas, mis on
vastuolus käesoleva paragrahvi lõike 5 alusel kehtestatud määruses sätestatuga.“;
29) paragrahvi 8 lõiget 1 täiendatakse pärast tekstiosa „Teenuse osutaja“ tekstiosaga „, välja
arvatud julgeolekuasutus,“;
30) paragrahvi 8 lõike 2 punktides 1 ja 4 asendatakse arv „1“ arvuga „14“;
31) paragrahvi 8 lõiget 2 täiendatakse punktiga 6 järgmises sõnastuses:
„6) tegemist on Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 23 lõike 11
alusel vastu võetud Euroopa Komisjoni rakendusaktis sätestatud olulise küberintsidendiga.“;
32) paragrahvi 8 lõige 4 tunnistatakse kehtetuks;
33) paragrahvi 8 täiendatakse lõigetega 41 ja 42 järgmises sõnastuses:
„(41) Olulise mõjuga küberintsidendi teavituses esitatakse võimaluse korral järgmised andmed:
1) teave olulise mõjuga küberintsidendi sisu ja toimumise põhjuse kohta, sealhulgas asjakohasel
juhul teave turvarikkemärgi kohta;
2) hinnang olulise mõjuga küberintsidendile, sealhulgas selle tõsidusele ja mõjule;
3) teave olulise mõjuga küberintsidendi piiriülese mõju kohta;
4) teave tegevuste kohta olulise mõjuga küberintsidendi lahendamiseks.
(42) Riigi Infosüsteemi Ameti taotlusel esitab teenuse osutaja vahearuande olulise mõjuga
küberintsidendi lahendamise seisu kohta. Vahearuandes esitatakse käesoleva paragrahvi lõikes 41
nimetatud andmed ja asjakohasel juhul Riigi Infosüsteemi Ameti taotluses küsitud täiendav
teave.“;
34) paragrahvi 8 lõige 5 muudetakse ja sõnastatakse järgmiselt:
„(5) Teenuse osutaja on kohustatud teavitama mõistliku aja jooksul isikut, keda olulise mõjuga
küberintsident või oluline küberoht võib mõjutada, või avalikkust, kui mõjutatud isikuid ei ole
võimalik eraldi teavitada. Teavituses annab teenuse osutaja võimalusel teada olulisest küberohust
ja meetmetest või parandusmeetmetest, mida mõjutatud isik saab olulisele küberohule
reageerimiseks võtta.“;
35) paragrahvi 8 lõige 7 muudetakse ja sõnastatakse järgmiselt:
„(7) Teenuse osutaja on olulise mõjuga küberintsidendi teavituse esitamisest kohustatud
edastama ühe kuu jooksul Riigi Infosüsteemi Ametile raporti, mis sisaldab informatsiooni
19 / 34
küberintsidendi tekkepõhjuste, selle lahendamiseks kulunud aja ja rakendatud abinõude ning
küberintsidendi mõju, sealhulgas asjakohasel juhul piiriülese mõju kohta. Kui raporti esitamise
hetkel jätkub olulise mõjuga küberintsidendi lahendamine, on esitatud raport käsitletav
vahearuandena ja teenuse osutaja esitab ühe kuu jooksul raporti pärast olulise mõjuga
küberintsidendi lahendamist.“;
36) paragrahvi 8 täiendatakse lõikega 81 järgmises sõnastuses:
„(81) Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 23 lõike 11 tähenduses
Euroopa Komisjoni rakendusakti vastu võtmisel, milles kehtestatakse nõuded küberintsidendi,
sealhulgas olulise mõjuga küberintsidendi, kohta esitatava teavituse või raporti korra ja vormi
kohta, lähtutakse nimetatud rakendusaktis sätestatud nõuetest.“;
37) paragrahvi 8 lõige 9 tunnistatakse kehtetuks;
38) paragrahvi 8 täiendatakse lõikega 10 järgmises sõnastuses:
„(10) Julgeolekuasutuses teavitab küberintsidendist asjakohast julgeolekuasutust, arvestades
käesolevas paragrahvis sätestatud nõudeid.“;
39) seadust täiendatakse §-ga 81 järgmises sõnastuses:
㤠81. Vabatahtlik teavitamine
(1) Riigi Infosüsteemi Ametile võib:
1) teenuse osutaja teavitada küberintsidendist, nõrkusest ja küberohust;
2) muu isik kui teenuse osutaja teavitada olulise mõjuga küberintsidendist, nõrkusest ja
küberohust.
(2) Potentsiaalsest nõrkusest või nõrkusest teavitav füüsiline või juriidiline isik võib esitada teate
anonüümselt. Anonüümselt esitatud teate esitaja isik on asutusesiseseks kasutamiseks mõeldud
teave.
(3) Käesoleva paragrahvi lõikes 1 alusel esitatud teavituse lahendamisel lähtub Riigi Infosüsteemi
Amet käesoleva seaduse §-dest 8 ja 12.“;
40) paragrahvid 10 ja 11 tunnistatakse kehtetuks;
41) paragrahvi 12 täiendatakse lõigetega 31 ja 32 järgmises sõnastuses:
„(31) Riigi Infosüsteemi Amet annab olulise mõjuga küberintsidendi teavituse saamisel
võimaluse korral 24 tunni jooksul teavitanud teenuse osutajale vastuse, mis sisaldab esialgset
tagasisidet olulise mõjuga küberintsidendile ja teavitanud üksuse taotluse korral ka suuniseid
olulise mõjuga küberintsidendi lahendamise meetmete kohta.
20 / 34
(32) Riigi Infosüsteemi Amet võib eelistada küberintsidendi lahendamisel käesoleva seaduse
paragrahvi 8 alusel esitatud teavituse lahendamist käesoleva seaduse paragrahvi lõikes 81 alusel
esitatud teavituse lahendamisele.“;
42) paragrahvi 12 lõige 4 muudetakse ja sõnastatakse järgmiselt:
„(4) Riigi Infosüsteemi Ametil on õigus välisriigile või Euroopa Liidu Küberturvalisuse Ametile
või muule organisatsioonile edastada küberintsidendi ennetamise ja lahendamisega seotud teavet
käesoleva seaduse §-s 5 sätestatud ülesannete või Euroopa Liidu õigusest tuleneva kohustuse
täitmiseks või välislepinguga ettenähtud juhtudel ja korras, kui edastatav teave ei kahjusta riigi
julgeolekut või kriminaalmenetlust. Nimetatud teabe edastamise kohustus on ennekõike siis, kui
olulise mõjuga küberintsident on seotud kahe või enama Euroopa Liidu liikmesriigiga, mille
korral tuleb asjakohane olulise mõjuga küberintsidendi kohta käiv teave edastada puudutatud
välisriigile ja Euroopa Liidu Küberturvalisuse Ametile.“;
43) paragrahvi 12 täiendatakse lõikega 41 järgmises sõnastuses:
„(41) Riigi Infosüsteemi Amet esitab Euroopa Liidu Küberturvalisuse Ametile iga kolme kuu
tagant koondaruande, mis sisaldab anonüümseid koondandmeid olulise mõjuga küberintsidentide,
küberintsidentide ja küberohtude kohta.“;
44) paragrahvi 12 lõikest 5 jäetakse välja tekstiosa „või digitaalse teenuse osutaja“;
45) seadust täiendatakse §-ga 121 järgmises sõnastuses:
„§ 121. Ulatusliku küberintsidendi ja kriisi ennetus ning lahendamine
(1) Ulatusliku küberintsidendi ja kriisi ennetusele ning lahendamisele kohaldatakse käesoleva
seaduse §-i 12 ja kriisi ennetamise ning lahendamisega seotud muid valdkondlikke seadusi.
(2) Riigi Infosüsteemi Amet:
1) koostab ja võtab vastu ulatuslike küberintsidentide ning kriiside lahendamise kava (edaspidi
kava), mis arvestab Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 9 lõikes 4
olevaid nõudeid;
2) teavitab kava vastu võtmisest või vastu võetud kavaga seotud muudatuste tegemisest kolme
kuu jooksul Euroopa Komisjonile ja Euroopa küberkriisiga tegelevate kontaktasutuste
võrgustikule (EU-CyCLONe) asjakohase teabe, mis on seotud nimetatud kavaga.
(3) Kava võib koostada muu õigusakti alusel koostatava dokumendi osana.“;
46) paragrahvi 13 lõige 1 muudetakse ja sõnastatakse järgmiselt:
„(1) Küberintsidentide register (edaspidi register) on Riigi Infosüsteemi Ameti peetav
andmekogu, kuhu kantakse küberintsidendi toimumist, küberohte ja nõrkusi kirjeldavad andmed
21 / 34
eesmärgiga pidada küberintsidentide, küberohtude ning nõrkuste üle arvestust ja analüüsida
registrisse esitatud teavet nende ennetamiseks või lahendamiseks, ohuteadete edastamiseks ning
järelevalvetoimingute tegemiseks.“;
47) paragrahvi 13 täiendatakse lõikega 4 järgmises sõnastuses:
„(4) Käesoleva paragrahvi lõikes 3 nimetatud määruses täpsustatakse registri andmekoosseis ja
andmeandjad, registrile juurdepääs, registrisse kantud andmete säilitustähtaeg ning registriga
seotud muud korralduslikud nõuded.“;
48) paragrahvi 131 tekstist jäetakse välja tekstiosa „, mis käsitleb ENISAt (Euroopa Liidu
Küberturvalisuse Amet) ning info- ja kommunikatsioonitehnoloogia küberturvalisuse
sertifitseerimist ja millega tunnistatakse kehtetuks määrus (EL) nr 526/2013 (küberturvalisuse
määrus) (ELT L 151, 07.06.2019, lk 15–69),“;
49) seadust täiendatakse §-ga 133 järgmises sõnastuses:
„§ 133. Euroopa küberturvalisuse sertifitseerimise kavade kasutamine
(1) Vabariigi Valitsus võib määrusega kohustada teenuse osutajat järgima käesoleva seaduse §-s
7 sätestatud nõuetele vastavuse tõenduseks teatavate IKT-toodete, IKT-teenuste ja IKT-
protsesside kasutamist, mis on sertifitseeritud Euroopa Parlamendi ja nõukogu määruse (EL)
2019/881 artikli 49 kohaselt vastu võetud Euroopa küberturvalisuse sertifitseerimise kava alusel
ning mis on:
1) töötatud välja teenuse osutaja poolt; või
2) hangitud kolmandalt isikult.
(2) Käesoleva paragrahvi lõike 1 kohase Vabariigi Valitsuse määruse andmisel täpsustatakse
samas määruses kohustuse sisu, ulatust, täitmise tähtaega ja täpsemaid nõudeid.
(3) Erisusena käesoleva paragrahvi lõikest 1 lähtub teenuse osutaja Euroopa Parlamendi ja
nõukogu direktiivi (EL) 2022/2555 artikli 24 lõike 2 alusel vastu võetud Euroopa Komisjoni
delegeeritud õigusaktist, kui asjakohane delegeeritud õigusakt on vastu võetud.“;
50) paragrahvi 14 lõige 2 tunnistatakse kehtetuks;
51) paragrahvi 14 lõiget 5 täiendatakse teise lausega sõnastuses „Haldusjärelevalvet teostavale
julgeolekuasutusele kohaldatakse käesoleva paragrahvi lõigetes 6–12 ja käesoleva seaduse §-s 17
sätestatut.“;
52) paragrahvi 14 täiendatakse lõigetega 6–14 järgmises sõnastuses:
„(6) Riigi Infosüsteemi Amet järelevalve tegemisel:
22 / 34
1) võib prioriseerida käesolevas seaduses sätestatud ülesannete täitmist, arvestades riski- või
ohuprognoosi põhist lähenemist;
2) viib elutähtsa üksuse suhtes läbi riiklikku ja haldusjärelevalvet põhjaliku ennetava- või
järelkontrollina;
3) viib olulise üksuse suhtes läbi riiklikku ja haldusjärelevalvet järelkontrollina, kui
järelevalveasutus saab teada, et oluline üksus ei järgi käesolevas seaduses, ennekõike käesoleva
seaduse §-des 7 ja 8, sätestatud nõudeid;
4) võib algatada järelevalvemenetluse omal algatusel.
(7) Riikliku ja haldusjärelevalve meetme kohaldamisel võetakse arvesse iga üksikjuhtumi
asjaolusid, ennekõike:
1) rikkumise raskust ja rikutud nõuete olulisust;
2) rikkumise kestust;
3) asjaomase teenuse osutaja varasemaid asjassepuutuvaid rikkumisi;
4) põhjustatud varalise või mittevaralise kahju, sealhulgas rahalise või majandusliku kahju, mõju
teistele teenustele;
5) rikkumisest mõjutatud isikute arvu;
6) rikkumise toimepanija tahtlust või hooletust;
7) turvameetmed, mida teenuse osutaja on võtnud varalise või mittevaralise kahju ennetamiseks
või vähendamiseks;
8) kinnitatud tegevusjuhendite järgimise või kinnitatud sertifitseerimismehhanismide
rakendamise seisu;
9) käesoleva paragrahvi lõigetes 1 ja 5 nimetatud järelevalveasutuse ning teenuse osutaja koostöö
taset.
(8) Raskeks rikkumiseks käesoleva paragrahvi lõikes 7 punkti 1 tähenduses loetakse järgmised
olukorrad:
1) tegemist on korduva rikkumisega;
2) teenuse osutaja on jätnud täitmata käesoleva seaduse § 8 lõikes 1 sätestatud kohustuse;
3) olulise mõjuga küberintsidendi korral jätab teenuse osutaja kasutusele võtmata turvameetmed
olulise mõjuga küberintsidendi lahendamiseks;
4) käesoleva paragrahvi lõigetes 1 ja 5 nimetatud järelevalveasutuselt saadud siduvate juhiste
järgi puuduste kõrvaldamata jätmine;
5) rikkumise tuvastamise järel käesoleva paragrahvi lõigetes 1 ja 5 nimetatud järelevalveasutuse
tellitud auditi või riikliku või haldusjärelevalve takistamine;
6) valeandmete või lubamatult ebatäpsete andmete esitamine seoses käesoleva seaduse §-s 7
sätestatud turvameetmete rakendamisega ja §-s 8 sätestatud olulise mõjuga küberintsidendist
teavitamisega.
(9) Riigi Infosüsteemi Ametil on riikliku ja haldusjärelevalve läbi viimisel õigus teha:
23 / 34
1) teenuse osutaja suhtes kohapealset kontrolli ja kaugjärelevalvet lähtudes käesoleva paragrahvi
lõike 6 punktidest 2–4, sealhulgas elutähtsa üksuse suhtes pistelist järelevalvet, mis võib olla
muuhulgas ajendatud olulise mõjuga küberintsidendist või käesolevas seaduses, sama seaduse
alusel kehtestatud või Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 21 lõike
5 või artikli 23 lõike 11 alusel vastu võetud rakendusaktis kehtestatud nõude rikkumisest;
2) teenuse osutaja suhtes sihipäraseid turvaauditeid, mis põhinevad Riigi Infosüsteemi Ameti või
auditeeritava teenuse osutaja tehtud riskihindamisel või muul kättesaadaval riskialasel teabel;
3) vajaduse korral koostöös asjaomase teenuse osutajaga objektiivsetel, mittediskrimineerivatel,
õiglastel ja läbipaistvatel riskihindamise kriteeriumidel põhinevaid turvalisuse kontrolle;
4) hoiatuse teenuse osutajale, kui teenuse osutaja rikub käesolevat seadust, käesoleva seaduse
alusel või Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 21 lõike 5 või artikli
23 lõike 11 alusel vastu võetud rakendusaktis kehtestatud nõuet;
5) ettekirjutuse, millega nõutakse ettekirjutuse saajalt lõpetada tegevus või praktika, mis rikub
käesolevas seaduses, käesoleva seaduse alusel või Euroopa Parlamendi ja nõukogu direktiivi
(EL) 2022/2555 artikli 21 lõike 5 või artikli 23 lõike 11 alusel vastu võetud rakendusaktis
kehtestatud nõuet, ja hoiduda sama tegevuse või praktika kasutamisest;
6) ettekirjutuse, millega nõutakse ettekirjutuse saajalt käesoleva seaduse §-s 7 sätestatud ning
selle alusel kehtestatud nõuetele või Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555
artikli 21 lõike 5 võetud rakendusaktis kehtestatud nõuetele vastavust ning käesoleva seaduse §-s
8 sätestatud teavituse esitamist samas paragrahvis viidatud viisil ja etteantud tähtajal;
7) ettekirjutuse, millega nõutakse ettekirjutuse saajalt käesoleva seaduse § 8 lõikes 5 sätestatud
teavituse tegemist;
8) ettekirjutuse, millega nõutakse ettekirjutuse saajalt turvaauditi tulemuse alusel tehtud
soovituste rakendamist mõistliku aja jooksul;
9) ettekirjutuse, millega nõutakse ettekirjutuse saajalt käesolevas seaduses, käesoleva seaduse
alusel või Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 21 lõike 5 või artikli
23 lõike 11 alusel vastu võetud rakendusaktis kehtestatud nõude rikkumise asjaolude
avalikustamist ettekirjutuses ette nähtud viisil;
10) ettekirjutuse elutähtsale üksusele, millega nõutakse ettekirjutuse saajalt kindlaks määratud
perioodiks määrata kindlaks vastavushaldur, kes jälgib, kas ettekirjutuse adressaat täidab
käesoleva seaduse §-des 7 ja 8 ning nende alusel või Euroopa Parlamendi ja nõukogu direktiivi
(EL) 2022/2555 artikli 21 lõike 5 või artikli 23 lõike 11 alusel vastu võetud rakendusaktis
kehtestatud nõuet.
(10) Käesoleva paragrahvi lõike 9 punktis 2 nimetatud sihipärase turvaauditi:
1) võib Riigi Infosüsteemi Amet teha elutähtsa üksuse suhtes korrapäraselt;
2) viib läbi sõltumatu organ või Riigi Infosüsteemi Amet;
3) tulemused tehakse kättesaadavaks Riigi Infosüsteemi Ametile;
24 / 34
4) kulud kannab auditeeritav teenuse osutaja, välja arvatud juhul, kui Riigi Infosüsteemi Amet
põhjendatul juhul otsustab teisiti.
(11) Elutähtsa üksuse suhtes käesoleva paragrahvi lõike 9 punktis 5 nimetatud ettekirjutus võib
sisaldada ka küberintsidendi ennetamiseks või heastamiseks ette nähtud turvameetmeid ja
nõudeid turvameetmete rakendamise tähtaja ning rakendamisest täitmise teavitamise kohta.
(12) Kui elutähtsa üksuse suhtes käesoleva paragrahvi lõike 9 punktides 4–6 ja 8 nimetatud
järelevalve meede ei anna tulemust, määrab Riigi Infosüsteemi Amet elutähtsale üksusele
täiendava tähtaja puuduste kõrvaldamiseks või Riigi Infosüsteemi Ameti esitatud nõuete
täitmiseks.
(13) Kui elutähtis üksus ei kõrvalda puudusi või ei täida Riigi Infosüsteemi Ameti nõudeid
käesoleva paragrahvi lõike 12 alusel määratud tähtajaks, on Riigi Infosüsteemi Ametil õigus
nõuda ettekirjutusega:
1) elutähtsa üksuse kõigi või mõnede osutatavate asjaomaste teenuste või tegevuste sertifikaadi
või loa ajutist peatamist loa väljastajalt, või vastava pädevuse olemasolul teha ise nimetatud
toiminguid;
2) elutähtsa üksuse nõukogult või osanikelt juhatuse liikme volituste ajutist peatamist.
(14) Käesoleva paragrahvi lõike 13 punktides 1 ja 2 sätestatud meetmeid:
1) kohaldatakse seni, kuni kõnealune elutähtis üksus võtab kasutusele vajalikud meetmed
puuduste kõrvaldamiseks või Riigi Infosüsteemi Ameti esitatud nõuete täitmiseks;
2) ei kohaldata keskvalitsuse avaliku halduse üksuse või kohaliku tasandi avaliku halduse üksuse
suhtes, sealhulgas juhul, kui sama üksus on kvalifitseeritud usaldusteenuse osutaja.“;
53) paragrahvi 15 lõige 2 muudetakse ja sõnastatakse järgmiselt:
„(2) Käesoleva seaduse §-de 7 ja 8 ning nende alusel kehtestatud õigusaktide või Euroopa
Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 21 lõike 5 või artikli 23 lõike 11 alusel
vastu võetud rakendusaktis kehtestatud nõuete täitmise üle riikliku järelevalve tegemisel võib
korrakaitseorgan kohaldada lisaks käesoleva paragrahvi lõikes 1 nimetatud erimeetmetele ka
korrakaitseseaduse §-des 52 ja 53 sätestatud riikliku järelevalve erimeedet korrakaitseseaduses
sätestatud alusel ja korras.“;
54) paragrahvi 171 tekst muudetakse ja sõnastatakse järgmiselt:
„Riikliku ja haldusjärelevalvemenetluse käigus ettekirjutuse täitmata jätmise korral on
asendustäitmise ja sunniraha seaduses sätestatud korras rakendatava sunniraha kohaldamise
igakordne ülemmäär 7 000 000 eurot või kuni 1,4 protsenti teenuse osutaja omanikust ettevõtja
eelmise majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on
suurem.“;
55) seadust täiendatakse §-ga 173 järgmises sõnastuses:
25 / 34
㤠173. Vastastikune abi
(1) Riigi Infosüsteemi Amet ning Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555
artiklis 8 alusel nimetatud pädevad asutused (edaspidi koos järelevalveasutus) teevad koostööd
asjakohase teabe vahetamiseks ning vajaduse korral abistavad üksteist, kui teenuse osutaja osutab
teenuseid mitmes Euroopa Liidu liikmesriigis või kui ta osutab teenuseid ühes või mitmes
liikmesriigis, kuid tema süsteemid asuvad ühes või mitmes muus liikmesriigis.
(2) Järelevalveasutus annab teiselt järelevalveasutuselt saadud põhjendatud taotluse korral
kõnealusele asutusele enda käsutuses olevate ressurssidega proportsionaalset abi, et järelevalve-
või täitemeetmeid saaks rakendada tulemuslikult, tõhusalt ja järjepidevalt. Vastastikune abi võib
hõlmata eelkõige teabepäringuid ja järelevalvemeetmeid, sealhulgas taotlusi teha kohapealseid
kontrolle, kaugjärelevalvet või sihipäraseid turvaauditeid.
(3) Käesoleva paragrahvi lõikes 1 olukorras võib Riigi Infosüsteemi Amet käesolevas paragrahvi
lõikes 2 nimetatud abitaotluse esitada teise Euroopa Liidu liikmesriigi Euroopa Parlamendi ja
nõukogu direktiivi (EL) 2022/2555 artiklis 8 alusel nimetatud pädevale asutusele.
(4) Riigi Infosüsteemi Amet võib teise Euroopa Liidu liikmesriigi Euroopa Parlamendi ja
nõukogu direktiivi (EL) 2022/2555 artiklis 8 alusel nimetatud pädeva asutuse esitatud abitaotluse
täitmisest keelduda, kui:
1) Riigi Infosüsteemi Amet ei ole pädev taotletavat abi andma;
2) taotletav abi ei ole proportsionaalne Riigi Infosüsteemi Ameti ülesannete suhtes; või
3) taotlus puudutab teavet või sisaldab tegevust, mis avalikustamise või elluviimise korral oleksid
vastuolus riikliku julgeoleku, avaliku julgeoleku või riigikaitse oluliste huvidega.
(5) Enne abitaotluse rahuldamata jätmist konsulteerib Riigi Infosüsteemi Amet teiste asjaomaste
pädevate asutustega ja ühe asjaomase liikmesriigi taotluse korral ka Euroopa Komisjoni ning
Euroopa Liidu Küberturvalisuse Ametiga.
(6) Arvestades käesolevas seaduses nimetatud järelevalvemeetmeid võib Riigi Infosüsteemi Amet
rakendada ühiseid järelevalve- ja täitemeetmeid, millesse on kaasatud Euroopa Parlamendi ja
nõukogu direktiivi (EL) 2022/2555 artiklis 8 alusel nimetatud pädeva asutuse töötajad või
ametnikud. Järelevalveasutused lepivad omavahel kokku ühistegevuse korra ja protseduurid.
(7) Kui Eesti saab vastastikuse abi taotluse seoses digitaalse teenuse osutajaga, siis Riigi
Infosüsteemi Amet võib võtta taotluses nimetatud Eesti territooriumil teenuseid osutava
digitaalse teenuse osutaja suhtes või digitaalse teenuse osutaja suhtes, kellel on Eesti Vabariigi
territooriumil süsteem, esitatud taotluse ulatuses asjakohaseid järelevalve- ja täitemeetmeid.“;
56) seadust täiendatakse 41. peatükiga järgmises sõnastuses:
„41. peatükk
Koostöö, teabevahetus ja vastastikune hindamine
26 / 34
§ 174. Riigi Infosüsteemi Ameti ja julgeolekuasutuse ülesanded koostöö tegemisel
(1) Riigi Infosüsteemi Amet ja julgeolekuasutus teeb oma ülesannete täitmise käigus koostööd:
1) isikuandmete kaitse seaduse tähenduses õiguskaitseasutustega;
2) isikuandmete kaitse järelevalveasutustega;
3) Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 300/2008 kohaste riiklike asutustega;
4) Euroopa Parlamendi ja nõukogu määruse (EL) 2018/1139, mis käsitleb tsiviillennunduse
valdkonna ühisnorme ja millega luuakse Euroopa Liidu Lennundusohutusamet ning millega
muudetakse Euroopa Parlamendi ja nõukogu määrusi (EÜ) nr 2111/2005, (EÜ) nr 1008/2008,
(EL) nr 996/2010, (EL) nr 376/2014 ja Euroopa Parlamendi ja nõukogu direktiive 2014/30/EL
ning 2014/53/EL ning tunnistatakse kehtetuks Euroopa Parlamendi ja nõukogu määrused (EÜ) nr
552/2004 ja (EÜ) nr 216/2008 ning nõukogu määrus (EMÜ) nr 3922/91 (ELT L 212, 22.08.2018,
lk 1–122), kohaste riiklike asutustega;
5) Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 kohaste järelevalveasutustega;
6) Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554, mis käsitleb finantssektori
digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ) nr 1060/2009, (EL) nr
648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (ELT L 333, 27.12.2022, lk 1–
79), kohaste pädevate asutustega;
7) Tarbijakaitse ja Tehnilise Järelevalve Ametiga;
8) julgeolekuasutusega;
9) teenuse osutajate sektoripõhiste või -vaheliste kogukondadega, sealhulgas vajadusel vahetades
nendega teavet arvestades käesoleva seaduse §-s 175 sätestatud nõudeid;
10) muude Euroopa Liidu õigusaktide kohaste pädevate asutustega.
(2) Riigi infosüsteemi Amet teeb igakülgset koostööd elutähtsat teenust korraldavate asutuse või
tema hädaolukorra seaduse § 37 lõike 5 alusel määratud asutuse, Päästeameti ja Riigikantseleiga
ning vahetab teavet elutähtsa teenuse osutajatega edastatud olulise mõjuga küberintsidentide,
küberriskide, -ohtude ja -intsidentide kohta ning elutähtsa teenuse osutajatena käsitatavaid
elutähtsaid üksusi mõjutavate muude kui küberriskide, -ohtude ja -intsidentide kohta ning selliste
riskide, ohtude ja küberintsidentide lahendamiseks võetud meetmete kohta. Lisaks teavitab Riigi
Infosüsteemi Amet nimetatud asutust, kui Riigi Infosüsteemi Amet võtab elutähtsa teenuse
osutaja suhtes riikliku või haldusjärelevalve käigus kasutusele järelevalve meedet. Sama asutus
võib asjakohasel juhul taotleda Riigi Infosüsteemi Ametilt riikliku või haldusjärelevalve
menetluses ette nähtud järelevalve meetme kasutamist elutähtsa teenuse osutaja suhtes.
(3) Riigi Infosüsteemi Amet teavitab Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554
artikli 32 lõike 1 kohaselt järelevaatamise foorumit, kui Riigi Infosüsteemi Amet kasutab riikliku
järelevalve käigus järelevalve meedet, et tagada nimetatud määruse artikli 31 kohaselt kriitilise
tähtsusega kolmandast isikust IKT-teenuse osutajana käsitatava ja käesoleva seaduse
kohaldamisalasse kuuluva teenuse osutaja vastavust käesolevas seaduses või käesoleva seaduse
alusel kehtestatud nõuetele.
27 / 34
(4) Riigi Infosüsteemi Amet ja käesoleva paragrahvi lõike 1 punktides 5-8 nimetatud asutused
vahetavad korrapäraselt asjakohast teavet, sealhulgas asjaomaste küberintsidentide ja -ohtude
kohta.
(5) Riigi Infosüsteemi Amet täidab pädeva asutusena Euroopa Parlamendi ja nõukogu direktiivi
(EL) 2022/2555 artikli 8 lõike 1 tähenduses sidepidamisfunktsiooni tagamaks Eesti ametiasutuste
piiriülene koostöö küberturvalisuse valdkonnas teiste Euroopa Liidu liikmesriikide asjaomaste
pädevate asutustega ning asjakohasel juhul ka Euroopa Komisjoni ja Euroopa Liidu
Küberturvalisuse Ametiga.
(6) Teabe vahetamisel tagatakse edastatava teabe turvalisus ja asjakohasel juhul kasutatakse
kokku lepitud teabevahetuse protokolle, sealhulgas fooriprotokolli.
§ 175. Küberturvalisuse alase teabevahetuse kokkulepped
(1) Teenuse osutajad kui ka muud isikud võivad omavahel vabatahtlikult vahetada asjakohast
küberturvalisuse alast teavet, sealhulgas teavet, mis on seotud küberohtude, nõrkuste, meetodite
ja menetluste, rikkeindikaatorite, kahjulike taktikate, ohusubjekti spetsiifilise teabe,
küberturvalisuse hoiatuste ning soovitustega küberturvalisuse vahendite konfiguratsiooni kohta
küberrünnete tuvastamiseks, kui selline teabevahetus:
1) toimub küberintsidentide ennetamise, tuvastamise, lahendamise või nende tagajärgede
leevendamise eesmärgil; või
2) aitab tõsta küberturvalisuse taset, eelkõige küberohtude alase teadlikkuse suurendamise ja
kõnealuste ohtude leviku piiramise või takistamise kaudu ning toetades mitmesuguseid
kaitsevõimalusi, nõrkuste vähendamist ja avalikustamist, ohu tuvastamise, ohjamise ning
ennetamise meetodeid, leevendusstrateegiaid, lahendamis- ja taastamisetappe ning avaliku ja
erasektori üksuste koostöös toimuvat küberohtude uurimist.
(2) Käesolevas paragrahvi lõikes 1 nimetatud teabevahetus toimub küberturvalisuse alase
teabevahetuse kokkuleppe (edaspidi teabevahetuse kokkulepe) alusel. Teabevahetuse
kokkuleppeid võib olla rohkem kui üks.
(3) Teabevahetuse kokkuleppes võib täpsustada teabevahetuse korraldusega seotud tegevuste
sisu, sealhulgas sihtotstarbeliste info- ja kommunikatsioonitehnoloogia platvormide ja
automatiseerimisvahendite kasutamist kui ka muud sisu ning tingimusi, arvestades jagatava teabe
tundlikkust.
(4) Riigi Infosüsteemi Amet võib enda poolt teabevahetuse kokkuleppe alusel kättesaadavaks
tehtud teabele seada tingimusi, kui teabevahetuse kokkuleppes osaleb keskvalitsuse avaliku
halduse üksus või kohaliku tasandi avaliku halduse üksus.
(5) Teenuse osutaja teavitab Riigi Infosüsteemi Ametit, kui teenuse osutaja on ühinenud
teabevahetuse kokkuleppega või kui teabevahetuse kokkuleppest taganemine on jõustunud.
§ 176. Vastastikune hindamine
(1) Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artiklis 19 sätestatud vastastikuses
hindamise (edaspidi vastastikune hindamine) osalemine on vabatahtlik.
28 / 34
(2) Vastastikuses hindamises osalemise korral lähtutakse Euroopa Parlamendi ja nõukogu
direktiivi (EL) 2022/2555 artikli 19 lõigetes 1 ja 6 nimetatud vastastikuse hindamise metoodikast,
korralduslikest aspektidest ning tegevusjuhenditest, kui need on välja töötatud.
(3) Vastastikust hindamist teostavad küberturvalisuse valdkonna eksperdid, arvestades käesoleva
paragrahvi lõikes 2 viidatud metoodikas sätestatud kriteeriume.
(4) Justiits- ja Digiministeerium või tema volitatud asutus:
1) määrab kindlaks teise Euroopa Liidu liikmesriigi suhtes teostatavas vastastikuses hindamises
Eesti Vabariigist osalevad küberturvalisuse valdkonna eksperdid;
2) teavitab vastastikuses hindamises osalevaid Euroopa Liidu liikmesriike, koostöörühma,
Euroopa Komisjoni ning Euroopa Liidu Küberturvalisuse Ametit käesoleva paragrahvi lõike 4
punkti 1 alusel määratud ekspertidega seotud huvide konflikti ohust enne vastastikuse hindamise
toimumist;
3) võib põhjendatud juhul esitada vastuväite Eesti Vabariigi suhtes hindamist läbi viiva teise
Euroopa Liidu liikmesriigi küberturvalisuse valdkonna eksperdi määramise kohta ja esitada see
vastuväide asjakohasele liikmesriigile;
4) määrab kindlaks vastastikuses hindamises hinnatavate aspektide sisu ja ulatuse arvestades
Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 19 lõigetes 1 ning 3 olevaid
nõudeid, ja teavitab nendest vastastikuses hindamises osalevatele Euroopa Liidu liikmesriikidele
enne vastastikuse hindamise alustamist, kui vastastikuses hindamises hinnatakse Eesti Vabariiki;
5) võib enne vastastikuse hindamise toimumist koordineerida vastastikuses hindamises Eesti
Vabariigi suhtes hinnatavate aspektide enesehindamist arvestades Euroopa Parlamendi ja
nõukogu direktiivi (EL) 2022/2555 artikli 19 lõike 5 alusel kehtestatud metoodikat, ning esitab
enesehindamise tulemused Eesti Vabariigi suhtes hindamist läbi viivatele Euroopa Liidu
liikmesriikide küberturvalisuse valdkonna ekspertidele;
6) edastab Eesti Vabariiki hinnatavale Euroopa Liidu liikmesriikide määratud küberturvalisuse
valdkonna ekspertidele hindamiseks vajaliku teabe;
7) võib esitada käesoleva paragrahvi lõike 6 punktis 4 nimetatud taotluse;
8) võib koordineerida ja esitada märkusi Eesti Vabariigi suhtes koostatud aruande kavandi kohta;
9) võib vajadusel esitada koostöörühmale ja Euroopa Parlamendi ja nõukogu direktiivi (EL)
2022/2555 artiklis 15 nimetatud riiklike küberturbe intsidentide lahendamise üksuste võrgustikule
Eesti Vabariigi suhtes tehtud vastastikuse hindamise aruande;
10) võib Eesti Vabariigi suhtes tehtava vastastikuse hindamise aruande või selle toimetatud
versiooni teha üldsusele kättesaadavaks.
(5) Käesoleva paragrahvi lõike 4 punktis 6 nimetatud teabe edastamisel arvestatakse:
1) vastastikuses hindamises hinnatavaid aspekte ja ulatust;
2) juurdepääsupiiranguga teabe ja salastatud teabe kaitset;
3) Eesti Vabariigi, sh riigi julgeoleku huve; ja
4) riigi julgeoleku suhtes kehtivaid õigusakte.
29 / 34
(6) Vastastikuse hindamise käigus:
1) võib toimuda kohapealseid või virtuaalseid külastusi ja teabevahetust väljaspool hinnatavat
tegevuskohta;
2) saadavat teavet kasutatakse üksnes vastastikuse hindamise eesmärgil;
3) osalevad küberturvalisuse valdkonna eksperdid hoiavad kolmandate isikute eest saladuses
neile vastastikuse hindamise käigus teatavaks saadud teavet, kui seadus ei sätesta samaväärset
saladuses hoidmise kohustust;
4) hinnatud aspektid ei kuulu kõnealuses riigis enam vastastikusele hindamisele kahe aasta
jooksul pärast vastastikuse hindamise lõppemist, välja arvatud juhul, kui seda taotleb Eesti
Vabariik või nii lepitakse kokku pärast koostöörühma ettepanekut;
5) osalevad küberturvalisuse eksperdid koostavad aruandeid vastastikuse hindamise tulemuste ja
järelduste kohta;
6) koostatud aruanded sisaldavad soovitusi vastastikuse hindamisega hõlmatud aspektide
parandamiseks.“;
57) paragrahv 18 tunnistatakse kehtetuks;
58) seadust täiendatakse §-dega 182–186 järgmises sõnastuses:
„§ 182. Seaduse nõuete rikkumine elutähtsa üksuse poolt
(1) Käesoleva seaduse § 7 lõigetes 1, 2, 21, 22, 3, 5 ja 6 või § 8 lõigetes 1, 11 ja 7 sätestatud
nõuete rikkumise eest füüsilisest isikust elutähtsa üksuse poolt, kui puudub käesoleva seaduse §-s
185 sätestatud väärteokoosseis –
karistatakse rahatrahviga kuni 10 000 000 eurot.
(2) Sama teo eest, kui selle on toime pannud juriidilisest isikust elutähtis üksus –
karistatakse rahatrahviga kuni 10 000 000 eurot või kuni 2 protsenti elutähtsa üksuse omanikust
ettevõtja eelmise majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb
summa on suurem.
§ 183. Seaduse nõuete rikkumine olulise üksuse poolt
(1) Käesoleva seaduse § 7 lõigetes 1, 2, 21, 22, 3, 5 ja 6 või § 8 lõigetes 1, 11 ja 7 sätestatud
nõuete rikkumise eest füüsilisest isikust olulise üksuse poolt, kui puudub käesoleva seaduse §-s
185 sätestatud väärteokoosseis –
karistatakse rahatrahviga kuni 7 000 000 eurot.
(2) Sama teo eest, kui selle on toime pannud juriidilisest isikust oluline üksus –
karistatakse rahatrahviga kuni 7 000 000 eurot või kuni 1,4 protsenti olulise üksuse omanikust
ettevõtja eelmise majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb
summa on suurem.
§ 184. Teenuse osutaja juhtorgani või juhtorgani liikme poolne nõuete rikkumine
30 / 34
Käesoleva seaduse §-s 61 nõuete rikkumise eest –
karistatakse rahatrahviga kuni 300 trahviühikut.
§ 185. Piiriüleste elektrivoogudega seotud üksuse poolne nõuete rikkumine
(1) Euroopa Komisjoni delegeeritud määruse (EL) 2024/1366 artikli 2 lõikes 1 nimetatud
füüsilisest isikust üksuse poolt samas määruses sätestatud nõuete rikkumise eest –
karistatakse rahatrahviga kuni 10 000 000 eurot.
(2) Sama teo eest, kui selle on toime pannud Euroopa Komisjoni delegeeritud määruse (EL)
2024/1366 artikli 2 lõikes 1 nimetatud juriidilisest isikust üksus –
karistatakse rahatrahviga kuni 10 000 000 eurot või kuni 2 protsenti üksuse omanikust ettevõtja
eelmise majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on
suurem.
§ 186. Piiriüleste elektrivoogudega seotud üksuse seadusliku esindaja poolne nõuete
rikkumine
(1) Euroopa Komisjoni delegeeritud määruse (EL) 2024/1366 artikli 15 lõike 1 alusel nimetatud
füüsilisest isikust seadusliku esindaja poolt samas määruses sätestatud nõuete rikkumise eest –
karistatakse rahatrahviga kuni 300 trahviühikut.
(2) Sama teo eest, kui selle on toime pannud Euroopa Komisjoni delegeeritud määruse (EL)
2024/1366 artikli 15 lõike 1 alusel nimetatud füüsilisest isikust seadusliku esindaja –
karistatakse rahatrahviga kuni 32 000 eurot.“;
59) paragrahvi 19 lõiked 1 ja 2 muudetakse ja sõnastatakse järgmiselt:
„(1) Käesoleva seaduse §-des 182–186 sätestatud väärtegude kohtuväline menetleja on Riigi
Infosüsteemi Amet.
(2) Kui käesoleva seaduse §-des 182 ja 183 sätestatud väärtegu on seotud isikuandmete töötlemise
nõuete rikkumisega, kohaldatakse väärteomenetluse puhul isikuandmete kaitse seadust.“;
60) paragrahvi 19 täiendatakse lõikega 4 järgmises sõnastuses:
„(4) Käesoleva seaduse §-des 182, 183 ja 185 sätestatud väärtegude aegumistähtaeg on kolm
aastat.“;
61) paragrahv 20 muudetakse ja sõnastatakse järgmiselt:
„§ 20. Riigi Infosüsteemi Ametiga seotud ülesanded
(1) Riigi Infosüsteemi Amet tuvastab käesoleva seaduse § 3 lõikes 3 nimetatud teenuse osutajad
kuue kuu jooksul alates käesoleva seaduse § 3 lõike 31 jõustumisest.
(2) Riigi Infosüsteemi Amet teeb käesoleva seaduse § 3 lõike 33 punktides 1 ja 2 nimetatud
teavitused kuue kuu jooksul alates viidatud punktide jõustumisest.
31 / 34
(3) Riigi Infosüsteemi Amet võib Euroopa Komisjoni taotlusel teatada kuue kuu jooksul Euroopa
Komisjoni käesoleva seaduse § 3 lõike 33 punktis 2 osutatud teenuse osutajate nimed alates
viidatud punkti jõustumisest.
(4) Riigi Infosüsteemi Amet nõuab digitaalse teenuse osutajatelt käesoleva seaduse § 4 lõikes 1
nimetatud teabe esitamist hiljemalt kolme kuu jooksul alates käesoleva seaduse § 2 lõike 74
jõustumisest.
(5) Riigi Infosüsteemi Amet edastab käesoleva seaduse § 12 lõikes 41 alusel tehtava esimese
koondaruande kolme kuu jooksul alates viidatud lõike jõustumisest.“;
62) seaduse normitehniline märkus muudetakse ja sõnastatakse järgmiselt:
„Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555, mis käsitleb meetmeid, millega
tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr
910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148
(küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk 80–152).“.
§ 2. E-identimise ja e-tehingute usaldusteenuste seaduse muutmine
E-identimise ja e-tehingute usaldusteenuste seaduse § 4 tunnistatakse kehtetuks.
§ 3. Eesti Rahvusringhäälingu seaduse muutmine
Eesti Rahvusringhäälingu seaduses tehakse järgmised muudatused:
1) paragrahvi 5 lõige 21 tunnistatakse kehtetuks;
2) paragrahvi 34 lõige 41 tunnistatakse kehtetuks.
§ 4. Elektroonilise side seaduse muutmine
Elektroonilise side seaduses tehakse järgmised muudatused:
1) paragrahv 872 tunnistatakse kehtetuks;
2) paragrahvi 1003 lõige 3 tunnistatakse kehtetuks;
3) paragrahvi 1004 lõige 2 tunnistatakse kehtetuks;
4) paragrahvi 1005 lõige 2 tunnistatakse kehtetuks;
32 / 34
5) paragrahvi 133 lõige 5 tunnistatakse kehtetuks;
6) paragrahv 1701 tunnistatakse kehtetuks;
7) paragrahvi 188 lõige 8 tunnistatakse kehtetuks.
§ 5. Hädaolukorra seaduse muutmine
Hädaolukorra seaduses tehakse järgmised muudatused:
1) paragrahvi 38 lõike 13 punkt 3 muudetakse ja sõnastatakse järgmiselt:
„3) täitma käesoleva seaduse § 37 lõike 2 alusel, §-s 41 ja muudes õigusaktides elutähtsa teenuse
toimepidevuse tagamiseks sätestatud nõudeid, arvestades, et käesoleva seaduse §-s 41 ning
küberturvalisuse seaduses sätestatud nõuete ja kohustuse täitmise tähtaeg ei oleks pikem kui viis
aastat elutähtsa teenuse osutajaks määramisest arvates.“;
2) paragrahvi 38 lõikes 14 asendatakse tekstiosa „§-s 41“ tekstiosaga „küberturvalisuse seaduses“;
3) paragrahvi 41 lõige 1 tunnistatakse kehtetuks.
§ 6. Käibemaksuseaduse muutmine
Käibemaksuseaduse § 4 lõikes 12 asendatakse sõna „küberturvalisuse“ sõnaga „tarbijakaitse“.
§ 7. Lennundusseaduse muutmine
Lennundusseaduses tehakse järgmised muudatused:
1) paragrahv 591 tunnistatakse kehtetuks;
2) paragrahvi 601 lõige 5 tunnistatakse kehtetuks;
3) paragrahvi 6056 lõige 3 tunnistatakse kehtetuks.
§ 8. Raudteeseaduse muutmine
33 / 34
Raudteeseaduses tehakse järgmised muudatused:
1) paragrahv 8 tunnistatakse kehtetuks;
2) paragrahvi 143 lõike 1 punkt 6 tunnistatakse kehtetuks;
3) paragrahvi 143 lõige 8 tunnistatakse kehtetuks;
4) paragrahvi 148 tekstist jäetakse välja tekstiosa „, Riigi Infosüsteemide Amet“.
§ 9. Sadamaseaduse muutmine
Sadamaseaduses tehakse järgmised muudatused:
1) paragrahvi 13 lõige 4 tunnistatakse kehtetuks;
2) paragrahvi 42 lõige 5 tunnistatakse kehtetuks.
§ 10. Tervishoiuteenuste korraldamise seaduse muutmine
Tervishoiuteenuste korraldamise seaduses tehakse järgmised muudatused:
1) paragrahvi 10 lõige 2 tunnistatakse kehtetuks;
2) paragrahvi 17 lõige 12 tunnistatakse kehtetuks;
3) paragrahvi 22 lõige 42 tunnistatakse kehtetuks;
4) paragrahvi 60 lõige 2 tunnistatakse kehtetuks.
§ 11. Seaduse jõustumine
Käesolev seadus jõustub 2025. aasta 1. juulil.
Lauri Hussar
Riigikogu esimees
Tallinn, 2025
34 / 34
Algatab Vabariigi Valitsus
1 / 151
07.12.2024
Küberturvalisuse seaduse ja teiste seaduste muutmise seaduse
(küberturvalisuse 2. direktiivi ülevõtmine) eelnõu seletuskiri
Sisukord 1. Sissejuhatus ................................................................................................................................ 2
1.1. Sisukokkuvõte ..................................................................................................................... 2
1.2. Eelnõu ettevalmistajad ....................................................................................................... 3
1.3. Märkused ............................................................................................................................. 4
2. Seaduse eesmärk ........................................................................................................................ 7
3. Eelnõu sisu ja võrdlev analüüs ............................................................................................... 13
§ 1. Küberturvalisuse seaduse muudatused .......................................................................... 13
§ 2. E-identimise ja e-tehingute usaldusteenuste seaduse muudatus ................................ 117
§ 3. Eesti Rahvusringhäälingu seaduse muudatused .......................................................... 117
§ 4. Elektroonilise side seaduse muudatused ...................................................................... 120
§ 5. Hädaolukorra seaduse muudatused ............................................................................. 121
§ 6. Käibemaksuseaduse muudatused ................................................................................. 121
§ 7. Lennundusseaduse muudatused .................................................................................... 122
§ 8. Raudteeseaduse muudatused ......................................................................................... 122
§ 9. Sadamaseaduse muudatused ......................................................................................... 123
§ 10. Tervishoiuteenuste korraldamise seaduse muudatused ............................................ 123
§ 11. Seaduse jõustumine ...................................................................................................... 123
4. Eelnõu terminoloogia ............................................................................................................ 124
5. Eelnõu vastavus Euroopa Liidu õigusele ............................................................................. 127
6. Seaduse mõjud ....................................................................................................................... 128
6.1. Kavandatav muudatus: KüTSi kohaldamisalasse kuuluvate üksuste nimekirja täiendamine
................................................................................................................................................. 129
6.2. Kavandatav muudatus: riskijuhtimismeetmete ehk turvameetmete rakendamise nõue ... 131
6.3. Kavandatav muudatus: küberintsidentidest teavitamise nõue .......................................... 138
6.4. Kavandatav muudatus: teenuse osutaja juhtorgani kohustused ........................................ 142
6.5. Kavandatav muudatus: järelevalveasutuse teavitamine üksuse andmetest ...................... 144
6.6. Kavandatav muudatus: pädevate asutuste ja ülesannete määratlemine ............................ 145
2 / 151
7. Seaduse rakendamisega seotud riigi ja kohaliku omavalitsuse tegevused, eeldatavad
kulud ja tulud ............................................................................................................................. 146
7.1. Vabariigi Valitsus ning Justiits- ja Digiministeerium ...................................................... 146
7.2. Riigi Infosüsteemi Amet ................................................................................................... 147
7.3. Julgeolekuasutus ............................................................................................................... 147
7.4. Muu tugi, koolitus ja toetused .......................................................................................... 147
8. Rakendusaktid ....................................................................................................................... 149
8.1. Uued rakendusaktid ....................................................................................................... 149
8.2. Muudetavad rakendusaktid .......................................................................................... 150
9. Kaasamine .............................................................................................................................. 150
1. Sissejuhatus
1.1. Sisukokkuvõte
Eelnõuga võetakse üle Euroopa Parlamendi ja nõukogu 14. detsembri 2022. a direktiiv (EL)
2022/2555, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu
liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning
tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv; edaspidi NIS2
direktiiv).1 NIS2 direktiiviga lahendatakse kehtiva küberturvalisuse valdkonna direktiivi
(Euroopa Parlamendi ja nõukogu direktiiv (EL) 2016/1148; edaspidi direktiiv 2016/1148)
kitsaskohti ning digitaalsete lahenduste järjest enama kasutuselevõtuga kaasnevaid küberohte ja
väljakutseid. NIS2 direktiivi eesmärk on saavutada küberturvalisuse ühtlaselt kõrge tase kogu
Euroopa Liidus, et parandada siseturu toimimist.
NIS2 direktiiv võetakse üle ennekõike küberturvalisuse seadusesse, kuid muudatusi tehakse ka e-
identimise ja e-tehingute usaldusteenuse seaduses, Eesti Rahvusringhäälingu seaduses,
elektroonilise side seaduses, hädaolukorra seaduses, käibemaksuseaduses, lennundusseaduses,
raudteeseaduses, sadamaseaduses ning tervishoiuteenuste korraldamise seaduses. Mainitud
muudes seadustes tehtavad muudatused on paljuski tehnilised. Muudatusi tegemata ei ole
võimalik NIS2 direktiivi kohaselt üle võtta ega rakendada.
Lisaks NIS2 direktiivi üle võtmisele luuakse küberturvalisuse seadusesse õigusnormid, mis
võimaldavad rakendada Euroopa Komisjoni 11. märtsi 2024. a delegeeritud määrust (EL)
2024/1366, millega täiendatakse Euroopa Parlamendi ja nõukogu määrust (EL) 2019/943 ning
kehtestatakse võrgueeskiri piiriüleste elektrivoogude küberturvalisust käsitlevate sektoripõhiste
normide kohta (edaspidi delegeeritud määrus 2024/1366). Täienduste tulemusena määratakse
Riigi Infosüsteemi Amet pädevaks asutuseks, kes vastutab talle nimetatud delegeeritud
1 https://eur-lex.europa.eu/legal-
content/ET/TXT/?uri=uriserv%3AOJ.L_.2022.333.01.0080.01.EST&toc=OJ%3AL%3A2022%3A333%3ATOC.
3 / 151
määrusega 2024/1366 antud ülesannete täitmise eest. Kui Riigi Infosüsteemi Ametile seda
ülesannet ei lisataks, oleks see Eesti oludes automaatselt Konkurentsiameti ülesanne, kellel aga
puudub küberturvalisuse valdkonnas kompetents, mis on vajalik delegeeritud määruses
2024/1366 sätestatud ülesannete täitmiseks. Arvestades Konkurentsiameti ja Riigi Infosüsteemi
Ameti praegusi ülesandeid, ei oleks Konkurentsiametile selle ülesande andmine ka mõistlik.
Eelnõus sätestatakse ka võimalus vajaduse korral edasi delegeerida delegeeritud määruse
2024/1366 artikli 39 lõikes 4, artikli 40 lõikes 5 ja artikli 41 lõikes 4 sätestatud ülesanded.
NIS2 direktiivi ülevõtmiseks ei ole vaja Eesti õigust palju muuta, kuna kehtiv küberturvalisuse
seadus või selle alusel kehtestatud määrused reguleerivad suuremas osas juba küberturvalisuse
nõudeid NIS2 direktiivi nõuete kohaselt. Sellegipoolest on teemasid, mis ei ole Eestis
reguleeritud, ning just nendele seaduseelnõu keskendubki.
Peamiseks muudatuseks on küberturvalisuse seaduse subjektide nimekirja täiendamine.
Küberturvalisuse seaduse nõudeid peavad järgima juba praegu u 3500 organisatsiooni ning
eelnõuga lisandub neile (esialgse hinnangu kohaselt) veel juurde u 2000 organisatsiooni.
Eelmainitud nimekirja täiendamine tähendab ka uusi subjekte, kes peavad hakkama tegelema
küberturvalisuse tagamisega ehk rakendama turvameetmeid ja olulise mõjuga küberintsidendi
korral teavitama sellest ka järelevalveasutust. Lisanduvatele organisatsioonidele nähakse ette ka
üleminekuaeg kolm aastat, mille jooksul tuleb viia oma tegevus küberturvalisuse seaduse
põhilisemate nõuetega kooskõlla. Elutähtsa teenuse osutajatel on erand – nemad lähtuvad kehtiva
õiguse ehk hädaolukorra seaduse tõttu viieaastasest tähtajast.
Küberturvalisuse seaduse kohaldamisalasse lisanduvatele subjektidele kehtivast õigusest ja
eelnõust tulenevate nõuete täitmisega tekkivaid kulusid on keeruline analüüsida. Majanduslik
mõju igale subjektile on väga erinev ning seda ei ole eelnõuga võimalik mõistlikult hinnata.
Turvameetmete rakendamiseks vajalik rahaline kulu sõltub subjekti kasutatavate süsteemide
hulgast ja keerukusest ning eelnevalt rakendatud turvameetmete olemasolust (tulenevalt subjekti
vastutustundlikkusest oma IT-lahenduste kasutamisel või muudest seaduslikest nõuetest, näiteks
isikuandmete töötlemiseks rakendatud tehnilistest ja korralduslikest meetmetest turvalisuse
tagamiseks). Rakendamiseks vajaliku kulu majanduslik mõju subjektile sõltub omakorda selle
kulu osakaalust subjekti eelarves, ennekõike IT-lahendustega seotud eelarves.
Uued subjektid saavad juba praegu end kurssi viia vajalike muudatusega ja alustada vajalike
protsessidega, et eelnõuga sätestatud nõuded täita. Selleks on abiks ka asjakohased suunised,
juhised ja koolitused. Rahalise toetusena on võimalik kasutada Euroopa Liidu taasterahastu
NextGenerationEU vahendeid ning eelnõu koostamise hetkel on ettevalmistamisel
lisatoetusmeede, mis on mõeldud uutele subjektidele.
1.2. Eelnõu ettevalmistajad
Eelnõu on koostanud Majandus- ja Kommunikatsiooniministeeriumi riikliku küberturvalisuse
osakonna küberturvalisuse õigusnõunik Raavo Palu ([email protected]) koostöös Riigi
Infosüsteemi Ameti õigusosakonna ning Küberturvalisuse Keskuse teenistujatega.
4 / 151
1.3. Märkused
Eelnõu on seotud muude menetluses olnud ja olevate eelnõudega.
NIS2 direktiiv avaldati ühises paketis teiste õigusaktidega:
- Euroopa Parlamendi ja nõukogu määrus (EL) 2022/2554, mis käsitleb finantssektori
digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ) nr 1060/2009, (EL) nr
648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (ELT L 333, 27.12.2022,
lk 1–79), tulenevaid ülesandeid ja teha küberturvalisuse valdkonnas koostööd Eesti ja teiste
liikmesriikide küberturvalisuse pädevate asutustega (edaspidi DORA määrus)2; ja
- Euroopa Parlamendi ja nõukogu direktiiv (EL) 2022/2556, millega muudetakse direktiive
2009/65/EÜ, 2009/138/EÜ, 2011/61/EL, 2013/36/EL, 2014/59/EL, 2014/65/EL, (EL)
2015/2366 ja (EL) 2016/2341 seoses finantssektori digitaalse tegevuskerksusega (seotud
DORA määruse rakendamisega)3 ning Euroopa Parlamendi ja nõukogu direktiiv (EL)
2022/2557, mis käsitleb elutähtsa teenuse osutajate toimepidevust ja millega tunnistatakse
kehtetuks nõukogu direktiiv 2008/114/EÜ (edaspidi CER direktiiv)4.
Nimetatud õigusaktid on teatavas ulatuses seotud NIS2 direktiivi ja selle rakendamisega.
DORA määruse ja -direktiiviga seoses oli Riigikogus arutlusel Finantsinspektsiooni seaduse ja
teiste seaduste muutmise seadus 422 SE. Tolle muudatusega tagatakse kooskõla finantssektori
tegevust reguleeriva riigisisese õiguse ja finantsasutustele kohalduvate Euroopa Liidu digitaalse
tegevuskerksuse nõuete vahel. DORA määrusega luuakse erikorra teatud finantssektori
organisatsioonidele, kes NIS2 direktiivi põhilisemate nõuete (riskijuhtimise meetmete
rakendamise nõude ning küberintsidentidest teavitamise nõude) asemel peavad järgima DORA
määruse nõudeid. 422 SE-ga tehtud muudatused avaldati Riigi Teatajas 11.10.2024. a ning need
jõustusid üldkorras (21.10.2024 jõustus kindlustustegevuse seaduse § 179 lg 1 punkti 2
muudatus). Ülejäänud muudatused jõustuvad 17.01.2025. a.
CER direktiivi võeti üle hädaolukorra seaduse muutmise ja sellega seonduvalt teiste seaduste
muutmise seadusega 426 SE. Seos CER direktiiviga tuleneb asjaolust, et kes iganes määratakse
edaspidi elutähtsa teenuse osutajaks CER direktiivi tähenduses, on automaatselt ka NIS2
direktiivi kohaldamisalas. Sama põhimõte jääb kehtima ka tsiviilkriisi ja riigikaitse seaduse
eelnõu kohaselt (eelnõude infosüsteemi toimik nr 21-0915). 426 SE-ga tehtud muudatused
avaldati Riigi Teatajas 08.10.2024. a ning need jõustusid 18.10.2024. a, sh teatud sätted
(hädaolukorra seaduse täiendamine §-ga 91 ning § 53 täiendamine lõigetega 9–11) jõustusid
üldises korras, kuid muude muudatustega samal kuupäeval.
2 https://eur-lex.europa.eu/legal-
content/ET/TXT/?uri=uriserv%3AOJ.L_.2022.333.01.0001.01.EST&toc=OJ%3AL%3A2022%3A333%3ATOC. 3 https://eur-lex.europa.eu/legal-
content/ET/TXT/?uri=uriserv%3AOJ.L_.2022.333.01.0153.01.EST&toc=OJ%3AL%3A2022%3A333%3ATOC. 4 https://eur-lex.europa.eu/legal-
content/ET/TXT/?uri=uriserv%3AOJ.L_.2022.333.01.0164.01.EST&toc=OJ%3AL%3A2022%3A333%3ATOC.
5 / 151
Kõnesolev eelnõu arvestab Vabariigi Valitsuse seaduse muutmise ja sellega seonduvalt teiste
seaduste muutmise seaduse eelnõu 505 SE5, millega viiakse Majandus- ja
Kommunikatsiooniministeeriumist uue nimega Justiits- ja Digiministeeriumisse digiarengu
valdkonna, sh riikliku küberturvalisusega seotud ülesanded. Vabariigi Valitsuse seaduse
muudatusega saab Justiitsministeeriumist Justiits- ja Digiministeerium. Ministeeriumile lähevad
üle Majandus- ja Kommunikatsiooniministeeriumi digiarengu valdkonna ülesanded.
Muudatustega liiguvad uue nimega Justiits- ja Digiministeeriumi valitsemisalasse
digiühiskonnapoliitika, avalike e-teenuste, digiarengu ja küberturvalisuse, riigi infosüsteemide,
kesksete võrgu- ja infosüsteemide ning side ja telekommunikatsiooniga seotud ülesanded. Samuti
liiguvad Majandus- ja Kommunikatsiooniministeeriumi alt Justiits- ja Digiministeeriumi
valitsemisalasse Riigi Infosüsteemi Amet, Riigi Info- ja Kommunikatsioonitehnoloogia Keskus,
Riigi Infokommunikatsiooni Sihtasutus ning Eesti Interneti Sihtasutus. Too seadus on
kavandatud jõustuma 2025. aasta 1. jaanuaril.
Kõnesolevat eelnõu ei mõjuta (kuigi järgnevalt viidatud eelnõudes või väljatöötamiskavatsustes
muudetakse ka neid seadusi, mida muudetakse ka siinse eelnõuga):
1. Siseministeeriumi algatatud hädaolukorra seaduse ja sellega seonduvalt teiste seaduste
täiendamise seadus (eelnõude infosüsteemi toimik nr 24-1098);6
2. Kliimaministeeriumi algatatud jäätmeseaduse muutmise seaduse eelnõu (eelnõude infosüsteemi
toimik nr 24-1105);7
3. Kliimaministeeriumi algatatud jäätmeseaduse ja pakendiseaduse ning teiste seaduste muutmise
seadus (eelnõude infosüsteemi toimik nr 24-1102);8
4. Kliimaministeeriumi algatatud atmosfääriõhu kaitse seaduse ja teiste teiste seaduste muutmise
seadus (taastuvenergia direktiivi muudatuste ülevõtmine) (eelnõude infosüsteemi toimik nr 24-
1072);9
5. Rahandusministeeriumi algatatud võlaõigusseaduse ja sellega seonduvalt teiste seaduste
muutmise seaduse eelnõu (eelnõude infosüsteemi toimik 24-0668);10
6. Kliimaministeeriumi algatatud elektrituruseaduse muutmise seadus (eelnõude infosüsteemi
toimik 24-0578);11
7. Sotsiaalministeeriumi algatatud ravimiseaduse ja teiste seaduste muutmise seaduse
väljatöötamiskavatsus (eelnõude infosüsteemi toimik 24-0999);12
5 https://www.riigikogu.ee/tegevus/eelnoud/eelnou/70fd3a41-edf8-45c4-a6f9-629223a43198/vabariigi-valitsuse-
seaduse-muutmise-ja-sellega-seonduvalt-teiste-seaduste-muutmise-seadus/. 6 https://eelnoud.valitsus.ee/main/mount/docList/81ef7ad8-14e2-4d3d-9c4e-83a841c1b8b4. 7 https://eelnoud.valitsus.ee/main/mount/docList/a64e202e-ba74-4c72-b32c-27353915398f. 8 https://eelnoud.valitsus.ee/main/mount/docList/8b16acd8-bac0-4886-8537-4e10962d7310. 9 https://eelnoud.valitsus.ee/main/mount/docList/c4e6a77c-71f6-4f9c-a318-144ef1a884c0. 10 https://eelnoud.valitsus.ee/main/mount/docList/034b4927-9d35-4ee7-a454-08e49ec6c5e8. 11 https://eelnoud.valitsus.ee/main/mount/docList/ff0dd562-12b5-4dd0-9951-e18ae9e765a5.
6 / 151
8. Kliimaministeeriumi algatatud meresõiduohutuse seaduse ja teiste seaduste muutmise seadus
(eelnõude infosüsteemi toimik 24-0238).13
Majandus- ja Kommunikatsiooniministeeriumil on ettevalmistamisel kosmoseseadus (eelnõude
infosüsteemi toimik 24-0963)14, millega soovitakse teha muudatus KüTSi kehtiva versiooni § 3
lõikes 1, sh tekitada ristviited KüTSile, mida siinse eelnõuga soovitakse kaotada.
Kõnesolev eelnõu arvestab ka eelnõu, millega muudetakse hädaolukorra seaduse § 41 lõiget 2
(eelnõude infosüsteemi toimik 24-1149).15 Tolles eelnõus muudetakse viidatud lõike sõnastust ja
tehakse ka muudatused tolle lõike järelevalvepädevuses: Riigi Infosüsteemi Ameti asemel teeb
seda elutähtsa teenuse toimepidevust korraldav asutus või tema hädaolukorra seaduse § 37 lõike 5
alusel määratud asutus.
Eelnõu on seotud Euroopa Liidu õiguse rakendamisega. Eelnõuga võetakse üle NIS2 direktiiv
ning tekitatakse õigusnormid Euroopa Komisjoni delegeeritud määruse (EL) 2024/1366
rakendamiseks.
Eelnõu on seotud Vabariigi Valitsuse tegevusprogrammi (Vabariigi Valitsuse 18. mai 2023. a
korralduse nr 131 „Vabariigi Valitsuse tegevusprogramm 2023-2027“) välispoliitika ja
diplomaatia eesmärgiga 2.1. „Välispoliitika ja Ukraina toetamine“: Eesti on Euroopa Liidu
aktiivne liikmesriik, kes kaitseb ühtsust tähtsustades oma rahvuslikke huvisid õigusaktide
loomisel, poliitikate kujundamisel ja ellurakendamisel. Selle all on Vabariigi Valitsuse
tegevusprogrammi ülesanne "Küberturvalisuse seaduse ja teiste seaduste muutmise seaduse
eelnõu direktiivi (EL) 2022/2555 (14. detsember 2022) ülevõtmiseks".
Eelnõuga muudetakse järgmiste seaduste järgmisi redaktsioone:
1) küberturvalisuse seadus (RT I, 21.06.2024, 15);
2) e-identimise ja e-tehingute usaldusteenuste seadus (RT I, 03.03.2023, 3);
3) Eesti Rahvusringhäälingu seadus (RT I, 08.10.2024, 2);
4) elektroonilise side seadus (RT I, 08.10.2024, 7);
5) hädaolukorra seadus (RT I, 08.10.2024, 27);
6) käibemaksuseadus (RT I, 18.10.2024, 2);
7) lennundusseadus (RT I, 08.10.2024, 11);
8) raudteeseadus (RT I, 08.10.2024, 16);
9) sadamaseadus (RT I, 08.10.2024, 18);
12 https://eelnoud.valitsus.ee/main/mount/docList/9fe287db-0453-4716-b1b5-af1450756be3. 13 https://eelnoud.valitsus.ee/main/mount/docList/087c10c8-1a08-417a-beac-9eedb2bc6f61. 14 https://eelnoud.valitsus.ee/main/mount/docList/c3ba07e8-ccf2-4159-ab17-dd7ecb1d9577. 15 https://eelnoud.valitsus.ee/main/mount/docList/320fcc91-9829-4e77-80ee-5deac920ae89.
7 / 151
10) tervishoiuteenuste korraldamise seadus (RT I, 08.10.2024, 20).
Eelnõu seadusena vastuvõtmiseks on vajalik Riigikogu poolthäälteenamus. Käibemaksuseaduses
tehtav muudatus on tehniline (vt täpsemaid selgitusi allpool).
Vabariigi Valitsuse 22. detsembri 2011. a määruse nr 180 „Hea õigusloome ja normitehnika
eeskiri“ § 1 lõike 2 punkt 2 ei nõua väljatöötamiskavatsust, kui eelnõu käsitleb Euroopa Liidu
õiguse rakendamist ja kui eelnõu aluseks oleva Euroopa Liidu õigusakti eelnõu menetlemisel on
sisu poolest lähtutud sama paragrahvi lõikes 1 sätestatud nõuetest. Vastav avalik konsultatsioon
oli16 ning Eesti on väljendanud seisukohta17 NIS2 direktiivi algatuse kohta.
2. Seaduse eesmärk
Seaduse eesmärk on üle võtta Eesti õigusesse NIS2 direktiiv ning sätestada delegeeritud määruse
2024/1366 artikli 4 lõike 1 kohaseks pädevaks asutuseks Riigi Infosüsteemi Amet. Eelnõus
sätestatakse ka võimalus vajaduse korral edasi delegeerida delegeeritud määruse 2024/1366
artikli 39 lõikes 4, artikli 40 lõikes 5 ja artikli 41 lõikes 4 sätestatud ülesanded.
Esimene küberturvalisuse direktiiv ehk direktiiv 2016/1148 sillutas paljudes liikmesriikides teed
olulisele mõtteviisi muutusele, pani aluse institutsioonilise ja regulatiivse lähenemisviisi
kujunemisele küberturvalisuse valdkonnas ning on andnud märkimisväärseid tulemusi. Tolle
direktiivi üle võtmisel otsustati, et Eesti õigusruumis on vaja eraldi õigusaktiga ehk KüTSiga
sätestada riigisisesed meetmed ühiskondliku ja majandustegevuse säilitamise seisukohast oluliste
võrgu- ja infosüsteemide turvalisuse tagamiseks. Nende hulka kuuluvad ka võrgu- ja
infosüsteemid, mis on vajalikud riigi ja kohaliku omavalitsuse üksuste töö toimimiseks. Toona
sätestati KüTSis direktiivist 2016/1148 tulenevad kohustused ja Riigi Infosüsteemi Ameti kui
pädeva asutuse õigused teha järelevalvet ning koordineerida küberintsidentide ennetamist,
tuvastamist ja lahendamist. Selle direktiivi rakendamisega pidi tugevnema ja ühtlustuma
küberturbealane koostöö liikmesriikide vahel. Eesti jaoks on küberturbe valdkonnas oluline, et
vastastikku jagataks rohkem kogemusi, oskusi, tehnoloogiaid ja teavet riiklikus küberruumis
toimuva kohta.
Samas on direktiivi 2016/1148 rakendamise võimalused osutunud piiratuks. Ühiskonna
digiüleminek (mida võimendas COVID-19 kriis) on ohumaastikku laiendanud ning toonud kaasa
uusi probleeme, mis nõuavad kohandatud ja uuenduslikke lahendusi. Küberrünnete arv kasvab
endiselt, need on üha keerukamad ning pärinevad paljudest eri allikatest nii Euroopa Liidus kui
ka mujal. Ühiskonna suureneva sõltuvuse taustal võrgu- ja infosüsteemidest areneb tehnoloogia
16 https://eur-lex.europa.eu/legal-content/ET/HIS/?uri=uriserv:OJ.L_.2022.333.01.0080.01.EST; konkreetsemalt
Euroopa Komisjoni ettepaneku rubriigi alt, dokumentidest numbritega 52020PC0823, 52020SC0345 ja
52020SC0344. Lisaks: https://eur-lex.europa.eu/legal-content/EN/PIN/?uri=celex:52020PC0823 ja
https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12475-Kuberturvalisus-vorgu-ja-
infosusteemide-turvalisust-kasitlevate-ELi-oigusnormide-labivaatamine_et. 17 Eelnõude infosüsteemi toimik 20-3668: COM(2020) 823 Proposal for a DIRECTIVE OF THE EUROPEAN
PARLIAMENT AND OF THE COUNCIL on measures for a high common level of cybersecurity across the Union,
repealing Directive (EU) 2016/1148 – https://eelnoud.valitsus.ee/main/mount/docList/5c847e1d-42e5-46f8-99d8-
d21d144bca61.
8 / 151
kiiresti, võrgu- ja infosüsteemide suurenev keerukus ning internetti ühendatud väga erinevate
seadmete kasvav arv ning küberruumis tegutsevate erineva motivatsiooni ja oskustasemega
toimijate kasvav hulk muudab küberturvalisuse üha suuremaks väljakutseks. Täiendavaid
väljakutseid pakuvad ka küberruumis tegutsevad toimijad, kes tunnevad Eesti digitaristu ja
teenuste vastu huvi seetõttu, et Eesti jätkuvalt toetab Ukrainat. Muudatused ohukeskkonnas
tingivad vajaduse tagada senisest parem olukorrateadlikkus ja tagada ohtude ennetamine,
väljaselgitamine ja tõrjumine ka juhul, kui võrgu- ja infosüsteemi omanik või valdaja vajalikku
hoolsust tahtlikult või teadmatusest ei ilmuta.
Tuginedes direktiivi 2016/1148 toimivuse hindamisele, tuvastati mõjuhinnanguga järgmised
probleemid: Euroopa Liidus tegutsevate ettevõtjate kübervastupidavusvõime madal tase;
ebaühtlane vastupidavusvõime tase liikmesriikide ja sektorite tasandil ning ühise
olukorrateadlikkuse madal tase ja ühistegevuse puudulikkus kriisidele reageerimisel.18 Sellest
johtuvalt võeti vastu NIS2 direktiiv, mille eesmärk on saavutada küberturvalisuse ühtlaselt kõrge
tase kogu Euroopa Liidus, et parandada siseturu toimimist. Selle eesmärgi saavutamiseks on
NIS2 direktiivis sätestatud:
a) liikmesriikide kohustus võtta vastu riiklikud küberturvalisuse strateegiad ning määrata või
asutada pädevad asutused, küberkriisi juhtimise asutused, küberturbe ühtsed kontaktpunktid ja
küberturbe intsidentide lahendamise üksused („CSIRTid“);
b) NIS2 direktiivi I või II lisas osutatud üksuste ning CER direktiivi kohaselt elutähtsana
käsitatavate üksuste küberturvalisuse riskijuhtimismeetmed ja teatamiskohustus;
c) küberturvalisuse alase teabevahetusega seotud reeglid ja kohustused;
d) järelevalve ja täitmise tagamisega seotud kohustused liikmesriikidele.
Võrreldes direktiiviga 2016/1148 on NIS2 direktiivis olevad muudatused esmapilgul justkui uued
ja täpsemad nõuded võrreldes varasematega. Allpool esitame NIS2 direktiivist tulenevad nõuded,
millest KüTSi subjekt (üksus) peab lähtuma või mida arvestama, st ta peab täiel määral või
osaliselt arvestama NIS2 direktiivi:
a) artikleid 3 ja 27 – teavita ja vajadusel uuenda enda infot: üksusel tuleb esitada pädevale
asutusele (Riigi Infosüsteemi Amet) teatav info enda organisatsiooni kohta (nt nimi,
kontaktandmed jne), sh hoidma seda infot ajakohasena;
b) artiklit 26 – esindaja määramine: selles artiklis on nimetatud teatavad üksused (eelnõus
digitaalse teenuse osutajad), kes peavad nimetama oma esindaja, kui nende tegevuskoht ei ole
Euroopa Liidus või nad ei ole seal asutatud, kuid pakuvad Euroopa Liidus oma teenuseid;
18 Euroopa Komisjoni talituste töödokument mõju hindamise aruande kommenteeritud kokkuvõte; lisatud
dokumendile: Ettepanek: EUROOPA PARLAMENDI JA NÕUKOGU DIREKTIIV, mis käsitleb meetmeid, millega
tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega tunnistatakse kehtetuks direktiiv 2016/1148. A
osa – https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=celex%3A52020SC0344.
9 / 151
c) artiklit 20 – juhtorgani vastutus: juhtorgan kiidab heaks küberturvalisuse
riskijuhtimismeetmed, jälgib nende rakendamist ning teda võidakse võtta vastutusele teatavate
nõuete rikkumise eest;
d) artiklit 20 – juhtorgani erikoolitused: juhtorganite liikmed on kohustatud läbima korrapäraselt
erikoolitusi; samuti tuleb ergutada üksusi pakkuma oma töötajatele või teenistujatele selliseid
koolitusi;
e) artiklit 21 – üksus võtab kasutusele riskijuhtimismeetmed: tegemist on üksuse küberturvalisuse
kaitse ja sellega seotud meetmete kasutusele võtmisega ehk KüTSi kontekstis turvameetmete
rakendamisega;
f) artiklit 24 – Euroopa küberturvalisuse sertifitseerimise kavade kasutamine: liikmesriik ehk
Eesti võib nõuda üksuselt riskijuhtimismeetmetega seotud nõuetele vastavuse tõendamiseks
teatavate IKT-toodete, IKT-teenuste ja IKT-protsesside kasutamist; sarnane volitus nende
kohustuslikus korras kasutamiseks on ka Euroopa Komisjonil, kes saab seda teha delegeeritud
õigusaktide alusel;
g) artiklit 23 – küberintsidentidest teavitamine: üksused teavitavad järelevalveasutust
(üldreeglina Riigi Infosüsteemi Ametit) ning asjakohasel juhul ka oma teenuse kasutajaid
kõikidest olulise mõjuga küberintsidentidest;
h) artiklit 28 – domeeninimede registreerimisandmete andmebaas: artikkel sätestab, kuidas
toimetavad tippdomeeninimede registrid ja tippdomeenide domeeninimede registreerimise
teenuseid osutavad üksused, sh mis infot nad ise koguvad;
i) artiklit 29 – küberturvalisuse alase teabevahetuse kokkulepped: üksused ja muud osapooled
võivad vabatahtlikult vahetada asjakohast küberturvalisuse alast teavet, sõlmides selleks
vastavad kokkulepped; kui NIS2 direktiivi subjekt osaleb sellises kokkuleppes, siis tuleb selles
osalemisest ja sellest väljumisest teavitada Riigi Infosüsteemi Ametit;
j) artikleid 31–33, mis sätestavad kindlaks järelevalve tegija õigused ja kasutatavad meetmed;
k) artiklit 34 – haldustrahvid: see artikkel sätestab haldustrahvide määramise üldtingimused, kui
rikutakse artiklis 21 või 23 olevaid nõudeid; haldustrahvide piirsuurused sõltuvad sellest, kas
tegemist on elutähtsa üksuse või olulise üksusega; eelnõus võetakse haldustrahvide sisu üle
väärteomenetluse sätetesse;
l) artiklit 34 – sunniraha: samas artiklis on ka säte, et liikmesriigid võivad ette näha õiguse
määrata sunniraha, mille eesmärk on sundida üksust direktiivi rikkumist lõpetama; direktiiv siin
sunniraha suurus ega selle kindlaks tegemise nõudeid ette ei näe.
Eesti on vahepeal KüTSi täiendanud 2022. aastal.19 Toona tehtud muudatustel oli lõpptulemusena
neli eesmärki, millest siinses seletuskirjas tuuakse välja üks peamistest – ajakohastada KüTSi, et
19 https://www.riigikogu.ee/tegevus/eelnoud/eelnou/cd3107f9-b19c-4ed4-b6a7-7379fa3bf6b9/kuberturvalisuse-
seaduse-ja-teiste-seaduste-muutmise-seadus/.
10 / 151
oleks võimalik kehtestada Eesti infoturbestandard ja muud ajakohastatud võrgu- ja
infosüsteemide küberturvalisuse nõuded ning seeläbi suurendada nende küberturvalisust. Tolle
muudatusega sooviti saavutada olukord, mis võimaldaks ühtsetel põhimõtetel paindlikult ja
rakendajatele arusaadavalt rakendada tänapäevastele vajadustele vastavat turvameetmete
süsteemi avalike ülesannete täitmiseks või oluliste teenuste osutamiseks loodud äriprotsessides.
Toona leiti, et infoturbe rakendamata jätmine ei ole tolle aja küberturbe olukorras KüTSi
subjektide võrgu- ja infosüsteemide puhul aktsepteeritav. Eesti infoturbestandardi loomisega
sooviti toonast olukorda muuta, tõstes andmeid töötleva võrgu- ja infosüsteemi asemel
turvameetmete rakendamise fookusesse olulist, sh avalikku ülesannet täitev organisatsioon, kelle
eesmärk on pakkuda otseseid avalikke teenuseid ja tugiteenuseid. Eesti infoturbestandard
koostati, arvestades rahvusvahelisi standardeid ning teise riikide standardseid nõudeid – tegemist
on nõuete kogumiga, mis on kooskõlas Saksa päritolu IT-Grundschutzi ja rahvusvahelise
standardiga ISO/IEC 27001 nõuetega.20 Viimati nimetatud standardit võeti eeskujuks ka NIS2
direktiivi artikli 21 riskijuhtimismeetmetega seotud nõuete sõnastamisel.
Kui arvestada ka asjaolu, et direktiiv 2016/1148 võeti üle laiemalt kui oli ette nähtud, siis tänu
2022. aastal Eesti infoturbestandardi kehtestamisele ja selle järgimise kohustuse kehtestamisele
on NIS2 direktiivi ülevõtmine Eesti õigusesse lihtsam, kuna NIS2 direktiivi peamised nõuded on
Eestil kehtivas õiguses juba täidetud. Pigem siinse eelnõuga täpsustatakse olemasolevas õiguses
olevaid sätteid ning kehtestatakse mõned uued normid. Konkreetsemalt tehakse eelnõuga
järgmised peamised muudatused:
- KüTSi subjektide nimekirja täiendamine (eelnõuga säilitatakse kehtiva KüTSi subjektid ning
lisanduvad ennekõik need üksused, kes on ette nähtud NIS2 direktiivi kohaselt);
- sätestatakse, mis andmeid peab KüTSi subjekt pädevale asutusele enda kohta esitama
(näiteks nimi, registrikood, kontaktandmed jne);
- sätestatakse KüTSi tasandil nõuded turvameetmete (riskijuhtimismeetmete) kohta (praktikas
on selle nõude põhisisu täidetud juba Eesti infoturbestandardi nõuete täitmisega või selle
alternatiivi ehk rahvusvahelise standardi ISO/IEC 27001 nõuete täitmisega);
- täpsustatakse olemasolevaid nõudeid küberintsidendist teavitamiseks (täpsustatakse seaduse
tasandil esitatava teate sisu ja selle lahendamisega seotud korraldust);
- kaotatakse direktiivi 2016/1148 üksuste liigitus (olulise teenuse operaator ja digitaalse
teenuse osutaja (viimast terminit kasutatakse uues tähenduses)) ning luuakse uute
kategooriatena elutähtsad üksused ja olulised üksused (nende erinevus on järelevalve
teostamises ja võimalike trahvide ülemmääras);
- sätestatakse selgelt, kellega tuleb ja võib teavet vahetada või koostööd teha (koostöö
tegemine pädevate asutuste vahel, üle riigipiiride ja vabatahtlikus vormis; näiteks piiriülese
küberintsidendi või küberkriisi korral);
20 Eesti infoturbestandardi rakendusjuhend, peatükid 1 ja 3, sh vt viimases olevat joonist nr 3 – kättesaadav:
https://eits.ria.ee/et/abimaterjalid/rakendusjuhend.
11 / 151
- määratakse pädevad asutused, kellel on ülesanded NIS2 direktiivi või delegeeritud määruse
2024/1366 kohaselt (üldiselt on tegemist valitsusasutustega, kes juba praegu tegelevad
samade ülesannetega);
- määratakse selgemalt KüTSi subjekti juhtkonna roll ja ülesanded (põhilisemad nõuded on
juba olemas Eesti infoturbestandardi tõttu, kuid eelnõuga sätestatakse need seaduse
tasandil; samuti kehtestatakse juhtkonnale kohustus osaleda küberturvalisuse koolitustel, sh
kohustus tagada, et ka ametnikud ja töötajad saavad neid koolitusi);
- täpsustatakse järelevalve- ja täitemeetmeid, mida KüTSi subjekti suhtes on võimalik
kasutada (järelevalveasutusel on juba praegu peaaegu samad volitused, kuid teatavad
volitused lisanduvad NIS2 direktiivi tõttu);
- ühtlustatakse trahvide suurused (eeskuju võetud isikuandmete kaitse valdkonna trahvidest);
- sätestatakse võimalus osaleda riikidevahelises küberturvalisuse taseme hindamises (tegemist
on vabatahtliku ülesandega).
Suurimaks siinse eelnõu muudatuseks on KüTSi subjektide nimekirja täiendamine, kuna see toob
kaasa, et neile kohalduvad ka KüTSi nõuded. Seletuskirjas on iga subjekti kategooria juures ka
Riigi Infosüsteemi Ameti esialgne hinnang, kui palju üksusi vastavale määratlusele vastab, sh kui
paljud neist jäävad KüTSi kohaldamisalasse. Üldistatult saab kokku võtta, et olemasolevaid
subjekte on 3537 ning uusi subjekte on u 2000 ehk kokku on u 5500 subjekti, kellele KüTSi
nõuded hakkavad kohalduma. Nende arvude puhul tuleb arvestada ka asjaoluga, et ilmselt osale
subjekte vastavad mitmele tunnusele: näiteks on tegemist nii keskvalitsuse avaliku halduse
üksusega kui ka avaliku teabe seaduse tähenduses andmekogu vastutava töötlejaga või volitatud
töötlejaga; või näiteks tegemist on elutähtsa teenuse osutajaga ning samal ajal ka üldkasutatava
elektroonilise side võrgu pakkujaga; või tegemist on vee-ettevõtjaga, kes samal ajal tegutseb ka
reovee valdkonnas. Eelnõu kohaldamisalast on välja jäetud mikro- ja väikeettevõtjad Euroopa
Komisjoni 6. mai 2003. aasta soovituse 2003/361/EÜ (mikro-, väikeste ja keskmise suurusega
ettevõtjate määratlemise kohta), tähenduses, välja arvatud elektroonilise side võrgu või
üldkasutatava elektroonilise side teenuse osutajad, usaldusteenuse osutajad, tippdomeenide
domeeninimede registrid, domeeninimede süsteemi teenuse osutajad, domeeninimede
registreerimise teenuseid osutavad üksused, elutähtsa teenuse osutajad ja avaliku halduse üksused
ning teatavad muud üksused, näiteks mõne teenuse ainupakkujad liikmesriigis. Nimetatud
üksused on KüTSi kohaldamisalas, kuna see on ette nähtud NIS2 direktiiviga.
Eelnõu sõnastamisel lähtuti sellest, milline on NIS2 direktiivi ette antud kaaltulusõigus
liikmesriigil vastav õigusnorm sõnastada ning kehtestada. Seetõttu on eelnõus ennekõike
piirdutud ainult sellega, mida NIS2 direktiiv kitsamas tähenduses ette on näinud, ehk n-ö
üldnõuetega. Nagu eespool mainitud, on osa eelnõu muudatusi laiemas plaanis kas täpsustused
(seal, kus on juba vajalikud nõuded Eesti õiguses olemas) või NIS2 direktiivi miinimumnõuete
ülevõtmine (osas, kus Euroopa Liidu õigust on vaja ühtlustada).
NIS2 direktiivi ülevõtmise tähtaega arvestades ei ole seaduseelnõuga võimalik teha kogu
kübervaldkonna normide laiapõhjalist revisjoni, mistõttu puudutab eelnõu üksnes NIS2 direktiivi
12 / 151
ülevõtmisega ja delegeeritud määrusega 2024/1366 seonduvat. Tolle revisjoniga seoses tullakse
välja eraldi väljatöötamiskavatsusega.
Ülevaade NIS2 direktiivi sätetest
• I peatükk: üldsätted (artiklid 1–6) – reguleerimisese; kohaldamisala; elutähtsad ja olulised
üksused; valdkondlikud liidu õigusaktid; minimaalne ühtlustamine; mõisted.
• II peatükk: koordineeritud küberturvalisuse raamistikud (artiklid 7–13) – riikliku
küberturvalisuse strateegia; pädevad asutused ja ühtsed kontaktpunktid; riiklikud
küberkriiside ohjamise raamistikud; küberturbe intsidentide lahendamise üksused
(CSIRTid); CSIRTidele esitatavad nõuded, nende tehniline võimekus ja ülesanded –
nõrkuste koordineeritud avalikustamine ja Euroopa nõrkuste andmebaas; koostöö
liikmesriigi tasandil.
• III peatükk: koostöö liidu ja rahvusvahelisel tasandil (artiklid 14–19) – koostöörühm;
CSIRTide võrgustik; Euroopa küberkriisiga tegelevate kontaktasutuste võrgustik (EU-
CyCLONe); rahvusvaheline koostöö; aruanne küberturvalisuse olukorra kohta liidus;
vastastikune hindamine.
• IV peatükk: küberturvalisusega seotud riskijuhtimismeetmed ja teatamiskohustus (artiklid
20–25) – juhtimine; küberturvalisuse riskijuhtimismeetmed; liidu tasandi kriitilise
tähtsusega tarneahelate koordineeritud turberiski hindamised; teatamiskohustus; Euroopa
küberturvalisuse sertifitseerimise kavade kasutamine; standardimine.
• V peatükk: jurisdiktsioon ja registreerimine (artiklid 26–28) – jurisdiktsioon ja
territoriaalsus; üksuste register; domeeninimede registreerimisandmete andmebaas.
• VI peatükk: teabevahetus (artiklid 29 ja 30) – küberturvalisuse alase teabevahetuse
kokkulepped; vabatahtlik teavitamine asjakohasest teabest.
• VII peatükk: järelevalve ja täitmise tagamine (artiklid 31–37) – järelevalve ja täitmise
tagamise üldised aspektid; järelevalve- ja täitemeetmed seoses elutähtsate üksustega;
järelevalve- ja täitemeetmed seoses oluliste üksustega; elutähtsatele ja olulistele üksustele
haldustrahvide määramise üldtingimused; isikuandmete väärkasutamisega seotud
rikkumised; karistused; vastastikune abi.
• VIII peatükk: delegeeritud õigusaktid ja rakendusaktid (artiklid 38 ja 39) – delegeeritud
volituste rakendamine; komiteemenetlus.
• IX peatükk: lõppsätted (artiklid 40–46) – läbivaatamine; ülevõtmine; määruse (EL)
nr 910/2014 muutmine; direktiivi (EL) 2018/1972 muutmine; kehtetuks tunnistamine;
jõustumine; adressaadid.
• Lisad: I lisa (kriitilise tähtsusega sektorid); II lisa (muud kriitilise tähtsusega sektorid); III
lisa (vastavustabel).
13 / 151
NIS2 direktiivi üle võtmisega seotud vastavustabel on esitatud seletuskirja lisas 1.
3. Eelnõu sisu ja võrdlev analüüs
Eelnõu koosneb 11 paragrahvist. Peamised muudatused on eelnõu §-s 1 ning ülejäänud eelnõu
paragrahvid on seotud valdkondlike õigusaktide parandamisega selleks, et üle võtta NIS2
direktiiv ning et tekitada vajalikud õigusnormid Euroopa Komisjoni delegeeritud määruse nr
2024/1366 kohaseks rakendamiseks.
§ 1. Küberturvalisuse seaduse muudatused
Eelnõu §-s 1 nähakse ette küberturvalisuse seaduse (KüTS) muudatused:
KüTS § 1 lõike 11 sisu on NIS2 direktiivi artikli 2 lõike 1 üle võtmine osas, mis on seotud viitega
Euroopa Komisjoni soovitusele 2003/361/EÜ mikro-, väikeste ja keskmise suurusega ettevõtjate
määratlemise kohta. Tolle soovituse kohaselt on keskmise suurusega ettevõtjaga tegemist siis, kui
ettevõtjal on a) vähemalt 50 töötajat ning b) tema bilansimaht või aastakäive ületab 10 miljonit
eurot. Mõlemad tingimused peavad olema täidetud, st kui näiteks on olemas vähemalt 50 töötajat,
kuid bilansimaht või aastakäive on väiksem kui 10 miljonit eurot, siis pole tegemist "keskmise
suurusega ettevõtjaga"; bilansimahu ja aastakäibe puhul on vaja, et mõlemad ei oleks väiksemad
kui 10 miljonit eurot. Sama loogika ning tulemus on ka vastupidi ehk kui bilansimaht või
aastakäive on vähemalt 10 miljonit eurot, kuid ettevõtjal on vähem kui 50 töötajat, ei ole tegemist
keskmise suurusega ettevõtjaga; bilansimahu ja aastakäibe puhul on vaja, et vähemalt üks neist
oleks suurem kui 10 miljonit eurot. Siinset lõiget tuleb vaadata koosmõjus järgmise lõikega ja
sealsete selgitusega.
Euroopa Komisjoni soovituse 2003/361/EÜ lisa artiklites 2–6 selgitatakse mh, millised on
ettevõtjate suuruste kategooriad ja milliseid asjaolusid tuleb arvesse võtta, kui arvutatakse
töötajate arvu ning bilansimahtu või aastakäivet. Näiteks selle soovituse lisa artikkel 3 näeb ette,
mis laadi ettevõtteid (inglise keeles enterprise) tuleb arvestada töötajate ja finantsnäitajate välja
selgitamisel, eristades autonoomseid, partner- ja seotud ettevõtteid (inglise keeles vastavalt
autonomous, partner and linked enterprises). Nende artiklite sisu ei korrata siinses seletuskirjas,
kuid neid tuleb võtta arvesse nimetatud soovituse alusel töötajate arvu ja finantsnäitajate
väljaselgitamisel. Näiteks ei saa töötajate arvu ja finantsnäitajate suuruse hindamisel hinnata
ainult tegevusi, mis on kirjas NIS2 direktiivi I ja II lisas (võetakse üle eelnõus KüTS § 1 lõikega
12), vaid lähtuvalt soovituse 2003/361/EÜ lisast tuleb analüüs teha kogu organisatsiooni kohta.
Kommenteeritava lõike teise lausega võetakse üle NIS2 direktiivi artikli 2 lõike 1 teine tekstilõik.
Euroopa Komisjoni soovituse 2003/361/EÜ lisa artikli 3 lõige 4 näeb ette üldreegli, et ettevõtja ei
ole väike- ega keskmise suurusega, kui 25% või rohkemat tema kapitalist või hääleõigusest
kontrollivad otseselt või kaudselt, ühiselt või üksikult, üks või mitu avaliku sektori
organisatsiooni (inglise keeles controlling public body). Sel teemal vt ka nimetatud soovituse
põhjenduspunkti 13. NIS2 direktiivi artikli 2 lõike 1 teine tekstilõik täpsustab, et viidatud
soovituse artikli 3 lõiget 4 ei arvestata NIS2 direktiivi puhul. Seetõttu tuleb eelnõusse lisada
kommenteeritava lõike teine lause, mis näeb ette sama nõude. Eeltoodu tõttu on eelnõu
14 / 151
tulemusena võimalik mõnda üksust pidada väike- või keskmise suurusega ettevõtjaks, kui
praktikas kontrollib seda (osaliselt) avaliku sektori organisatsioon, aga ainult siis, kui
kommenteeritava lõike esimeses lauses nimetatud tingimused (töötajate arv ja finantsnäitajad) on
täidetud. NIS2 direktiiv ei näe ette nõudeid, kuidas tehakse kindlaks töötajate arv ja
finantsnäitajad avaliku sektori organisatsioonide puhul, kuna need on NIS2 direktiivi artikli 2
lõike 2 punktiga f hõlmatud NIS2 direktiivi alla, olenemata organisatsiooni suurusest. Soovitus
2003/361/EÜ ei ole mõeldud reguleerima ega paku selgeid reegleid, kuidas toimida kontrolli
omavate avaliku sektori organisatsioonidega. Selle soovituse reeglite järgimine kontrolli omavate
avaliku sektori organisatsioonide puhul (tuvastamaks nende seost ja rolli partner- ja seotud
ettevõtetega väike- või keskmise suurusega ettevõtjate puhul) tekitaks Euroopa Liidu
liikmesriikide seas killustatust ja õiguslikku segadust. Seetõttu ei tule võtta arvesse eraldiseisva
kontrolli omava avaliku sektori organisatsiooni töötajate arvu ja finantsnäitajaid, kui tehakse
kommenteeritava lõike kohaselt kindlaks väike- või keskmise suurusega ettevõtjate töötajate arvu
ja finantsnäitajaid.
Käesoleva ja järgmiste lõigetega seoses on asjakohased NIS2 direktiivi alltoodud
põhjenduspunktid 4-7 ja 16, mis selgitavad NIS2 direktiiviga ette nähtud küberturvalisuse nõuete
järgimiskohustusega subjektide ringi täiendamist ja seda miks tekkis vajadus kehtiv
küberturvalisuse direktiiv (direktiiv 2016/1148) kehtetuks tunnistada ning kuidas lähtuda
Euroopa Komisjoni soovitusest 2003/361/EÜ:
(4) Direktiivi (EL) 2016/1148 õiguslik alus oli Euroopa Liidu toimimise lepingu artikkel 114,
mille eesmärk on siseturu rajamine ja toimimise tagamine riigisiseste normide ühtlustamise
meetmete tõhustamise abil. Teenuseid osutavatele või majanduslikult olulist tegevust ellu
viivatele üksustele kehtestatud küberturvalisuse nõuded erinevad liikmesriigiti märkimisväärselt
nii nõuete liigi, üksikasjalikkuse kui ka järelevalvemeetodi poolest. Need erisused toovad kaasa
lisakulusid ning põhjustavad raskusi piiriüleselt kaupu või teenuseid pakkuvatele üksustele. Ühe
liikmesriigi kehtestatud nõuded, mis erinevad teise liikmesriigi kehtestatud nõuetest või on
nendega lausa vastuolus, võivad sellist piiriülest tegevust oluliselt pärssida. Lisaks mõjutab
küberturvalisuse nõuete ebatõhus kavandamine või rakendamine ühes liikmesriigis tõenäoliselt
küberturvalisuse taset ka teistes liikmesriikides, kui piiriülene suhtlus on sedavõrd intensiivne.
Direktiivi (EL) 2016/1148 läbivaatamise käigus selgus, et liikmesriigid kohaldavad seda väga
erinevalt, muu hulgas seoses selle kohaldamisalaga, mille piiritlemine jäeti suuresti
liikmesriikide otsustada. Direktiiviga (EL) 2016/1148 anti liikmesriikidele ka väga ulatuslik
kaalutlusõigus direktiivis sätestatud turvalisuse tagamise ja intsidentidest teatamise kohustuse
rakendamisel. Seega rakendati neid kohustusi liikmesriigi tasandil väga erinevalt. Sarnaseid
lahknevusi oli ka direktiivi (EL) 2016/1148 järelevalve- ja täitmise tagamise sätete rakendamisel.
(5) Kõik need erinevused põhjustavad siseturu killustumist ja võivad kahjustada selle toimimist,
mõjutades eelkõige teenuste piiriülest osutamist ja kübervastupidavusvõime taset, kuna
rakendatavad meetmed on erinevad. Lõppkokkuvõttes võivad need erinevused tuua kaasa selle, et
mõni liikmesriik on küberohtude vastu vähem kaitstud, millel võib olla ülekanduv mõju kogu
liidus. [NIS2 direktiivi] eesmärk on kõrvaldada sellised suured erinevused liikmesriikide vahel,
15 / 151
sätestades koordineeritud reguleeriva raamistiku toimimisega seotud miinimumnormid,
kehtestades liikmesriikide vastutavate asutuste tulemuslikuks koostööks vajalikud mehhanismid,
ajakohastades selliste sektorite ja tegevuste loetelu, mille suhtes küberturvalisusega seotud
kohustusi kohaldatakse, ning nähes ette tõhusad õiguskaitsevahendid ja täitemeetmed, mis on
olulised nende kohustuste tulemusliku täitmise tagamiseks. Seega tuleks direktiiv (EL) 2016/1148
kehtetuks tunnistada ja asendada [NIS2 direktiiviga].
(6) Direktiivi (EL) 2016/1148 kehtetuks tunnistamisega tuleks sektoripõhist kohaldamisala
laiendada suuremale osale majandusest, et hõlmata võimalikult täielikult kõik sektorid ja
teenused, mis on siseturu peamise ühiskondliku ja majandustegevuse jaoks elutähtsad. Eelkõige
on [NIS2 direktiivi] eesmärk kõrvaldada puudused, mis on seotud elutähtsate teenuste osutajate
ja digiteenuse osutajate eristamisega, mis on osutunud iganenuks, kuna ei kajasta sektorite või
teenuste tähtsust siseturu ühiskondliku ja majandustegevuse jaoks.
(7) Direktiivi (EL) 2016/1148 kohaselt oli liikmesriikidel kohustus kindlaks teha üksused, mis
vastavad oluliste teenuste operaatori kriteeriumidele. Et kõrvaldada sellest tulenevad
liikmesriikidevahelised suured erinevused ning tagada kõigile asjaomastele üksustele
küberturvalisuse riskijuhtimismeetmete ja teatamiskohustusega seoses õiguskindlus, tuleks
kehtestada ühtne kriteerium, mille alusel tehakse kindlaks [NIS2 direktiivi] kohaldamisalasse
kuuluvad üksused. See kriteerium peaks põhinema suuruse ülempiiri reegli kohaldamisel, mille
kohaselt jäävad [NIS2 direktiivi] kohaldamisalasse kõik üksused, mida käsitatakse komisjoni
soovituse 2003/361/EÜ lisa artikli 2 kohaselt keskmise suurusega ettevõtjana või mis ületavad
keskmise suurusega ettevõtja ülemmäärasid, mis on esitatud kõnealuse artikli lõikes 1, ning
tegutsevad [NIS2 direktiiviga] hõlmatud sektorites, osutavad teenuseid või viivad ellu tegevusi,
mis kuuluvad selle kohaldamisalasse. Liikmesriigid peaksid samuti ette nägema, et [NIS2
direktiivi] kohaldamisalasse kuuluvad teatavad kõnealuse soovituse lisa artikli 2 lõigetes 2 ja 3
määratletud väikesed ettevõtjad ja mikroettevõtjad, mis vastavad konkreetsetele kriteeriumidele,
mis näitavad ühiskonna, majanduse või konkreetsete sektorite või teenuseliikide võtmerolli.
(16) Vältimaks seda, et üksusi, millel on partnerettevõtjad või mis on sidusettevõtjad, peetaks
elutähtsateks või olulisteks üksusteks, kui see oleks ebaproportsionaalne, on liikmesriikidel
võimalik soovituse 2003/361/EÜ lisa artikli 6 lõike 2 kohaldamisel võtta arvesse üksuse oma
partneritest või sidusettevõtjatest sõltumatuse määra. Eelkõige on liikmesriikidel võimalik võtta
arvesse asjaolu, et üksus on oma partner- või sidusettevõtjatest sõltumatu teenuste osutamisel
kasutatavate võrgu- ja infosüsteemide osas, ja teenuste osas, mida üksus osutab. Selle põhjal
võivad liikmesriigid asjakohasel juhul leida, et nimetatud üksust ei saa käsitada 2003/361/EÜ
lisa artikli 2 kohase keskmise suurusega ettevõtjana või et üksus ei ületa keskmise suurusega
ettevõtja kõnealuse artikli lõikes 1 esitatud ülemmäärasid, kui pärast selle üksuse sõltumatuse
määra arvestamist üksnes tema enda andmete arvesse võtmisel ei käsitataks teda keskmise
suurusega ettevõtjana või neid ülemmäärasid ületavana. See ei mõjuta [NIS2 direktiivi]
kohaldamisalasse kuuluvate partner- ja sidusettevõtjate [NIS2 direktiivis] sätestatud kohustusi.
Lisaks eeltoodule on asjakohased NIS2 direktiivi põhjenduspunktid 20, 21 ja 37.
16 / 151
KüTS § 1 lõike 12 sisu on tervikuna seotud lõike 11 rakendamisega ehk selles on toodud NIS2
direktiivi artikli 2 lõikes 1 viidatud ning I ja II lisas nimetatud üksused. Soovituslik järjekord
KüTSi nõuete järgimise tuvastamiseks lõigete 11 ja 12 kohaselt: a) esimese sammuna tuvastada,
kas tegemist on KüTS § 1 lg 12 mõnes punktis oleva teenuse või tegevusega; b) kui esimene
samm saab positiivse vastuse (tegemist on tolles lõikes oleva teenuse või tegevusega), siis
tuvastada, kas KüTS § 1 lg 11 on täidetud ehk kas tegemist on vähemalt keskmise suurusega
ettevõtjaga (vt tolle lõike selgitusi). Kui ka teise sammu vastus on positiivne, siis on tegemist
KüTSi nõuete järgijaga nende kahe lõike kohaselt. Kui teise sammu vastus on negatiivne, tasub
kontrollida, kas KüTSi nõuete järgimise kohustus võib tekkida KüTS § 1 lõigete 13–16 alusel (vt
täpsemalt nende sätete sisu ja selgitusi). Kui viidatud lõiked ei kohaldu, tasub üle kontrollida, kas
tegemist võib olla kommenteeritava paragrahvi lõigete 11 ja 12 olukorraga.
Eelmainitud tuvastamist selgitab joonis nr 1.
Joonis 1. KüTSi subjektsuse tuvastamine.
On lähtutud ka asjaolust, et kuigi kommenteeritava lõike punktidega hõlmatud üksustest osa
satuvad KüTSi kohaldamisalasse muudel põhjustel (nt tegemist on elutähtsa teenuse osutajaga),
tagatakse siinse ja eelmise lõikega, et NIS2 direktiiviga ette nähtud sektorid või valdkonnad ei jää
KüTSist välja seetõttu, et nende hõlmamine KüTSi alla on tagatud KüTS § 1 lõigetega 13–16.
NIS2 direktiivi I ja II lisas mainitud üksused hõlmatakse kogu tegevusega KüTSi alla
(tingimusel, et eelnõu KüTS § 1 lõike 11 tingimused on täidetud) – seda isegi juhul, kui mõne
üksuse tegevus või teenus on NIS2 direktiivi I või II lisas. See on kooskõlas NIS2 direktiivi
artikli 1 esimese tekstilõikega, mis näeb ette järgmist: „Liikmesriigid tagavad, et elutähtsad ja
olulised üksused võtavad asjakohased ja proportsionaalsed tehnilised, tegevuslikud ja
17 / 151
korralduslikud meetmed, et juhtida riske, mis ohustavad nende üksuste tegevuses või teenuste
osutamisel kasutatavate võrgu- ja infosüsteemide turvalisust, ning et ennetada või minimeerida
intsidentide mõju nende teenuste saajatele ja muudele teenustele.“ Ka Euroopa Komisjoni
suunistes 2023/C 328/02 NIS2 direktiivi artikli 4 lõigete 1 ja 2 kohaldamise kohta,21 punktis 7 on
NIS2 direktiivi artikli 21 kohta selgitatud: „[NIS2 direktiivi artikli 21 lõikes 1 sätestatud
kohustus, mille kohaselt peavad elutähtsad ja olulised üksused võtma asjakohaseid ja
proportsionaalseid küberturvalisuse riskijuhtimismeetmeid, kehtib kõigi asjaomase üksuse
tegevuste ja teenuste suhtes ega puuduta üksnes konkreetseid infotehnoloogia („IT“) varasid või
elutähtsaid teenuseid, mida üksus osutab.“
Kommenteeritava lõike punktides olevate sõnastuste kohta ootame eelnõu koostajatena
tagasisidet, 1) kas pakutud sõnatused on arusaadavad ja selged; 2) kui mingit sõnastust tuleks
täpsustada, siis millisel moel tuleks seda teha, kui arvestada NIS2 direktiivi enda eesmärki ja
sõnastust, sh asjaolu, et eesmärk on NIS2 direktiiv võtta üle kitsalt.
Siinses seletuskirjas on iga vastava üksuse kategooria juures Riigi Infosüsteemi Ameti esialgne
hinnang, kui palju üksusi vastava sõnastuse alla võib minna, ning kommenteeritava lõike vastava
punkti korral ka, kui paljud neist on hõlmatud KüTSi kohaldamisalasse nn suuruse kriteeriumiga
(vt eelmist lõiget). Siin ootame eelnõu koostajatena nende arvude kohta tagasisidet, kas esialgsed
arvud on õiged või õiges suurusjärgus.
KüTS § 1 lg 12 punkt 1 on NIS2 direktiivi I lisas märgitud 1-a-esimene viide (Euroopa
Parlamendi ja nõukogu direktiivi (EL) 2019/944 elektrienergia siseturu ühiste normide kohta ja
millega muudetakse direktiivi 2012/27/EL (edaspidi direktiiv 2019/944) artikli 2 punktis 57
määratletud elektriettevõtjad, kes täidavad nimetatud direktiivi artikli 2 punktis 12 määratletud
tarnimise ülesannet). Mainitud direktiivi kohaselt on elektriettevõtja „füüsiline või juriidiline isik,
kes täidab vähemalt üht järgmistest ülesannetest: elektrienergia tootmine, ülekandmine,
jaotamine, agregeerimine, tarbimiskaja, energia salvestamine, tarnimine või ostmine, ning kes
vastutab nende ülesannetega seotud kaubanduslike, tehniliste või hooldusküsimuste eest;
käesolev mõiste ei hõlma lõpptarbijaid“. Lõpptarbija on sama direktiivi kohaselt tarbija, kes
ostab elektrienergiat oma tarbeks; st lõpptarbija ei müü elektrienergiat (hulgi) edasi. Eelduslikult
on lõpptarbija ka isik, kes toodab elektrienergiat näiteks päikesepaneeliga ning kasutab sellest
saadud elektrienergiat enda vajaduste jaoks.
Direktiiv 2019/944 on üle võetud elektrituruseadusesse elektrituruseaduse ja teiste seaduste
muutmise seaduse 426 SE-ga.22 Nimetatud seaduse eelnõu seletuskirja lisas 1 oleva
vastavustabeli (edaspidi 426 SE vastavustabel) kohaselt on direktiivi 2019/944 mõiste vasteks
elektrituruseaduse § 6 lõike 1 kohane elektriettevõtja, kes on „füüsiline või juriidiline isik, kes ei
ole tarbija ja kes tegeleb: tootmisega, ülekandmisega, jaotamisega, agregeerimisega, tarbimise
21 Komisjoni teatis Komisjoni suunised direktiivi (EL) 2022/2555 (küberturvalisuse 2. direktiiv) artikli 4 lõigete 1 ja
2 kohaldamise kohta 2023/C 328/02 - https://eur-lex.europa.eu/legal-
content/ET/TXT/?uri=CELEX%3A52023XC0918%2801%29&qid=1731940784346. 22 https://www.riigikogu.ee/tegevus/eelnoud/eelnou/40352cd6-cbef-409f-ae11-c3af8ae0c613/.
18 / 151
juhtimisega, salvestamisega, müümisega või, ostmisega“. NIS2 direktiiv on kitsendanud
elektriettevõtja mõistet nii, et tegemist on „tarnimisega“ ning samal ajal ei tohi olla tegemist
„lõpptarbijaga“. Kui võrrelda direktiivi 2019/944 artikli 2 punktis 57 määratletud tegevusi (sh
terminit tarnimine), siis elektrituruseaduse § 6 lg-s 1 on sobivaim vaste „tarnimisele“
„müümine“. Seetõttu on eelnõu sõnastuse järgi tegemist elektrienergia müümisega.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 10, kellest 10
lähevad nn suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 2 on NIS2 direktiivi I lisas märgitud 1-a-teine viide (direktiivi 2019/944
artikli 2 punktis 29 määratletud jaotusvõrguettevõtjad). Mainitud direktiivi kohaselt on
jaotusvõrguettevõtja „füüsiline või juriidiline isik, kes vastutab jaotusvõrgu käitamise, hoolduse
ja vajaduse korral arendamise eest teatud piirkonnas, ja asjakohasel juhul jaotusvõrgu sidumise
eest teiste võrkudega, ning kes tagab võrgu pikaajalise võime rahuldada mõistlikku nõudlust
elektrienergia jaotamise järele“. 426 SE vastavustabeli kohaselt on direktiivi 2019/944 mõiste
vasteks elektrituruseaduse § 8 lõike 3 kohane jaotusvõrguettevõtja, kes on „juriidiline isik, kes
osutab võrguteenust jaotusvõrgu kaudu ning vastutab jaotusvõrgu käitamise, hoolduse ja
arendamise eest oma teeninduspiirkonnas ja selle ühendamise eest teiste võrkudega.
Jaotusvõrguettevõtja tagab võrgu pikaajalise võime rahuldada mõistlikku nõudlust elektrienergia
jaotamise järele“.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 10, kellest 10
lähevad suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 3 on NIS2 direktiivi I lisas märgitud 1-a-kolmas viide (direktiivi 2019/944
artikli 2 punktis 35 määratletud põhivõrguettevõtjad). Mainitud direktiivi kohaselt on
põhivõrguettevõtja „füüsiline või juriidiline isik, kes vastutab põhivõrgu käitamise, hoolduse ja
vajaduse korral arendamise eest teatud piirkonnas, ja asjakohasel juhul põhivõrgu sidumise eest
teiste võrkudega, ning kes tagab võrgu pikaajalise võime rahuldada mõistlikku nõudlust
elektrienergia ülekandmise järele“. 426 SE vastavustabeli kohaselt on direktiivi 2019/944 mõiste
vasteks elektrituruseaduse § 8 lõike 2 kohane põhivõrguettevõtja, kes on „elektriettevõtja, kes
osutab võrguteenust põhivõrgu kaudu“.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 1 ja see läheb ka
suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 4 on NIS2 direktiivi I lisas märgitud 1-a-neljas viide (direktiivi 2019/944
artikli 2 punktis 38 määratletud tootjad). Mainitud direktiivi kohaselt on tootja „elektrienergiat
tootev füüsiline või juriidiline isik“. 426 SE vastavustabeli kohaselt on direktiivi 2019/944 mõiste
vasteks elektrituruseaduse § 7 lõike 1 kohane tootja, kes on „elektriettevõtja, kes toodab
elektrienergiat ühe või mitme tootmisseadme abil“.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 3 ja need lähevad ka
suuruse kriteeriumi alla.
19 / 151
KüTS § 1 lg 12 punkt 5 on NIS2 direktiivi I lisas märgitud 1-a-viies viide (Euroopa Parlamendi
ja nõukogu määruse (EL) 2019/943, milles käsitletakse elektrienergia siseturgu (edaspidi määrus
2019/943), artikli 2 punktis 8 määratletud määratud elektriturukorraldajad). Tolle määruse
kohaselt on määratud elektriturukorraldaja „turukorraldaja, kelle pädev asutus on nimetanud
täitma ülesandeid ühtse järgmise päeva turu mehhanismis või ühtse päevasisese turu
mehhanismis“.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 1 ja see läheb ka
suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 6 on NIS2 direktiivi I lisas märgitud 1-a-kuues viide (määruse 2019/943
artikli 2 punktis 25 määratletud turuosalised, kes osutavad direktiivi 2019/944 artikli 2 punktides
18, 20 ja 59 määratletud agregeerimis-, tarbimiskaja- või energia salvestamise teenuseid).
Määruse 2019/943 artikli 2 punktis 25 on defineeritud turuosaliste kui „füüsiline või juriidiline
isik, kes toodab, ostab või müüb elektrit, tarbimiskaja või salvestamisteenuseid, mis hõlmab
kauplemiskorralduste andmist ühel või mitmel elektriturul, sealhulgas tasakaalustamisenergia
turgudel“. Direktiivi 2019/944 artikli 2 punktis 18 on defineeritud agregeerimine kui „füüsilise
või juriidilise isiku tegevus, mille käigus ühendatakse paljude tarbijate tarbimiskoormus või
toodetud elektrienergia elektriturul müümiseks, ostmiseks või oksjonile panemiseks“. 426 SE
vastavustabeli kohaselt on direktiivi 2019/944 mõiste vasteks elektrituruseaduse § 3 p 13 kohane
„tegevus, mille käigus ühendatakse tarbijate tarbimiskoormus või tootjate tootmisvõimsus
elektriturul müümiseks või ostmiseks“. Direktiivi 2019/944 artikli 2 punktis 20 on defineeritud
tarbimiskaja kui „elektri tarbimise koormuse muutmine lõpptarbijate poolt, mis seisneb
normaalse või jooksva tarbimise muutmises vastuseks turusignaalidele, sealhulgas vastuseks ajas
muutuvale elektrihinnale või rahalistele stiimulitele, või vastuseks lõpptarbija kas iseseisvalt või
energiavahendaja kaudu tehtud ja aktsepteeritud pakkumisele müüa komisjoni rakendusmääruse
(EL) nr 1348/2014 artikli 2 punktis 4 määratletud organiseeritud turu hinnaga tarbimise
vähendamist või suurenemist“. 426 SE vastavustabeli kohaselt on direktiivi 2019/944 mõiste
vasteks elektrituruseaduse § 3 p 233 kohane „elektri tarbimise koormuse juhtimine, mis seisneb
tarbija iseseisvas tarbimise muutmises või agregaatori kaudu tehtud ja aktsepteeritud pakkumises
müüa komisjoni rakendusmääruse (EL) nr 1348/2014, milles käsitletakse andmete esitamist ja
millega rakendatakse energia hulgimüügituru terviklikkust ja läbipaistvust käsitleva Euroopa
Parlamendi ja nõukogu määruse (EL) nr 1227/2011 artikli 8 lõiked 2 ja 6, artikli 2 punktis 4
määratletud organiseeritud turu hinnaga tarbimise vähendamist või suurendamist“. Direktiivi
2019/944 artikli 2 punktis 59 on defineeritud energia salvestamine kui „elektrivõrgus
elektrienergia lõppkasutamise edasilükkamine tootmise hetkest hilisemal ajale või elektrienergia
muundamine salvestatavaks energiaks, sellise energia salvestamine ning seejärel selle
taasmuundamine elektrienergiaks või kasutamine muu energiakandjana“. 426 SE vastavustabeli
kohaselt on direktiivi 2019/944 mõiste vaste elektrituruseaduse § 3 p-s 83, kuid õige viide peaks
olema p-le 82 (elektrienergia salvestamine): „elektrienergia muundamine salvestatavaks
energiaks, sellise energia salvestamine ja seejärel taasmuundamine elektrienergiaks või
20 / 151
kasutamine muu energiakandjana eesmärgiga lükata elektrienergia lõppkasutamine tootmise
hetkest hilisemale ajale või optimeerida koormusi elektrisüsteemis salvestusperioodi vältel“.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 3 ja need lähevad ka
suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 7 on NIS2 direktiivi I lisas märgitud 1-a-seitsmes viide (laadimispunkti
käitajad, kes vastutavad sellise laadimispunkti haldamise ja käitamise eest, mis osutab
lõppkasutajatele laadimisteenust, sealhulgas liikuvusteenuse osutaja nimel ja eest). NIS2 ei tee
siin viidet ühelegi muule Euroopa Liidu õigusaktile, kuid elektrituruseaduse § 3 punktis 131 on
defineeritud laadimispunkt kui „liides, millega on võimalik laadida korraga ühte elektrisõidukit
või vahetada korraga ühe elektrisõiduki aku“. Kaudselt on teemaga seotud ka
energiasalvestusüksuse mõiste, mis on defineeritud elektrituruseaduse § 3 punktis 84 kui
"elektripaigaldise osa, kus salvestatakse energiat, sealhulgas kahesuunalist laadimist võimaldav
elektrisõiduki laadimispunkt". Samuti on seotud elektrituruseaduse peatükk 62 (võrguettevõtja
kõrvaltegevusalad), mis sisaldab kahte teemat: elektrisõidukite laadimispunkt ning
energiasalvestusüksus.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 3 ja need lähevad ka
suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 8 on NIS2 direktiivi I lisas märgitud 1-b-esimene viide (Euroopa
Parlamendi ja nõukogu direktiivi (EL) 2018/2001 taastuvatest energiaallikatest toodetud energia
kasutamise edendamise kohta (edaspidi direktiiv 2018/2001), artikli 2 punktis 19 määratletud
kaugkütte ja kaugjahutuse pakkujad). Mainitud direktiivi kohaselt on kaugküte ja kaugjahutus kui
„soojusenergia jaotamine võrgu kaudu auru, kuuma vee või jahutatud vedelikena kesksest
tootmisallikast või detsentraliseeritud tootmisallikatest mitmesse hoonesse või kohta, et kasutada
seda kütteks või jahutamiseks ruumis või protsessides“. Direktiiv 2018/2001 on üle võetud
energiamajanduse korralduse seaduse muutmise ja sellega seonduvalt teiste seaduste muutmise
seadus 382 SE-ga.23 Nimetatud seaduse eelnõu seletuskirja lisas 1 oleva vastavustabeli kohaselt
on direktiivi 2018/2001 mõiste vasteks kaugkütteseaduse § 2 punkt 1: „soojuse tootmine ja võrgu
kaudu jaotamine tarbijate varustamiseks soojusega kaugküttesüsteemi kaudu“.
Kaugkütteseaduses ei ole defineeritud kaugjahutust, mistõttu kommenteeritavas punktis olev
viide kaugkütteseadusele kohaldub ainult kaugkütte kohta. Energiamajanduse korralduse
seaduses on sõnu jahutus või kaugjahutus kasutatud, kuid ei ole defineeritud.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 40 ja need lähevad
ka suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 9 on NIS2 direktiivi I lisas märgitud 1-c-teine viide (nafta tootmise,
rafineerimise ja töötlemise rajatiste ning hoiustamise ja ülekandmisega tegelevad operaatorid).
23 https://www.riigikogu.ee/tegevus/eelnoud/eelnou/18d86acd-7d58-4219-ac63-5fd6be58a90b/.
21 / 151
Esialgsel hinnangul kommenteeritava punkti sõnastusele vastavaid üksusi pole, kuid siin eelnõu
koostajatena ootame tagasisidet, kas see vastab tõele.
KüTS § 1 lg 12 punkt 10 on NIS2 direktiivi I lisas märgitud 1-d-esimene viide (Euroopa
Parlamendi ja nõukogu direktiivi 2009/73/EÜ, mis käsitleb maagaasi siseturu ühiseeskirju ning
millega tunnistatakse kehtetuks direktiiv 2003/55/EÜ (edaspidi direktiiv 2009/73/EÜ), artikli 2
punktis 8 määratletud tarneettevõtjad). Nimetatud direktiiv on 3. augustil 2024 kehtetuks
tunnistatud Euroopa Parlamendi ja nõukogu direktiiviga (EL) 2024/1788, mis käsitleb
taastuvatest energiaallikatest toodetud gaasi, maagaasi ja vesiniku siseturgude ühiseid norme ning
millega muudetakse direktiivi (EL) 2023/1791 ja tunnistatakse kehtetuks direktiiv 2009/73/EÜ
(edaspidi direktiiv 2024/1788). Direktiivi 2024/1788 artiklit 95 arvestades ning lähtuvalt selle
direktiivi IV lisas toodud direktiivi 2009/73/EÜ ja direktiivi 2024/1788 vastavustabelit, on
direktiivi 2009/73/EÜ artikli 2 punkti 8 vasteks direktiivi 2024/1788 artikli 2 punkt 29. Direktiivi
2009/73/EÜ artikli 2 punktis 8 defineeriti tarneettevõtjat kui „füüsiline või juriidiline isik, kes
täidab tarneülesannet“. Direktiivi 2024/1788 artikli 2 punkti 29 kohaselt on tarneettevõtja mõiste
definitsioon sama ehk „füüsiline või juriidiline isik, kes täidab tarneülesannet“. Väärib
mainimist, et kõnesoleva tarneettevõtja definitsiooniga on seotud ka direktiivi 2009/73/EÜ artikli
2 punkt 7 („tarnimine” – maagaasi, sealhulgas veeldatud maagaasi müük, kaasa arvatud
edasimüük tarbijale), mille vaste täiendatud kujul on direktiivi 2024/1788 artikli 2 punkt 28
(„tarnimine“ – maagaasi, sealhulgas veeldatud maagaasi, või vesiniku, sealhulgas vedela
orgaanilise vesiniku kandja kujul vesiniku või veeldatud vesiniku ja vesiniku derivaatide,
sealhulgas ammoniaagi või metanooli müük, kaasa arvatud edasimüük tarbijatele); samuti ka
direktiivi 2009/73/EÜ artikli 2 punkt 24 („tarbija” – maagaasi hulgimüüja või lõpptarbija ja
maagaasi ostev maagaasiettevõtja), mille vaste täiendatud kujul on direktiivi 2024/1788 artikli 2
punkt 47 („tarbija“ – maagaasi või vesiniku hulgimüüja või lõpptarbija ja maagaasi või
vesinikku ostev maagaasi- või vesinikuettevõtja).
Direktiiv 2009/73/EÜ võeti üle maagaasiseadusesse maagaasiseaduse muutmise seadusega 166
SE.24 Nimetatud seaduse eelnõu seletuskirjas oleva vastavustabeli (edaspidi 166 SE
vastavustabel) kohaselt on direktiivi 2009/73/EÜ artikli 2 punktis 8 nimetatud mõiste vasteks
maagaasiseaduse § 2 (täpsustamata konkreetset punkti), kuid tolles seaduses ei ole seda mõistet
rohkem selgitatud ega täpsustatud. Kui arvestada selle termini sisu eelviidatud direktiivides, siis
eelduslikult on siin seos maagaasiseaduse § 7 lõikega 4: „gaasi müük käesoleva seaduse
tähenduses on gaasi üleandmine isikule tasu eest“. Kõigest eeltoodust lähtuvalt on sõnastatud
kommenteeritav punkt: tegemist on maagaasi edasimüügiga tegeleva gaasiettevõtjaga, kes müüb
maagaasi (sh veeldatud maagaasi) maagaasi hulgimüüjale, lõpptarbijale ja maagaasi ostvale
gaasiettevõtjale; või sama tegevus edasimüügina. Eelnõu kommenteeritava punkti sõnastuses
lähtuti direktiivi 2009/73/EÜ sõnastusest (millele ka NIS2 direktiivis on viidatud), mitte
direktiivist 2024/1788, millest lähtumine kaasaks ka vesinikuga seotud sarnaseid tegevusi
tegevad ettevõtjad. Maagaasiseaduse §-s 4 on gaasiettevõtja defineeritud kui „ettevõtja, kes
24 https://www.riigikogu.ee/tegevus/eelnoud/eelnou/5dea306a-39a3-43c7-9d74-e20d79ad6527/.
22 / 151
tegutseb vähemalt ühel tegevusalal, milleks on gaasi tootmine, import, ülekanne, jaotamine,
hoiustamine või müük, ning kes vastutab selle tegevusega seonduva kaubandusliku või
hooldusküsimuse lahendamise eest“. Eelnõu koostajatena ootame tagasisidet, kas
kommenteeritava punkti sõnastuse puhul tuleks lähtuda direktiivist 2024/1788 (ehk laiemast
sõnastusest võrreldes NIS2 direktiiviga) või direktiivist 2009/73/EÜ (eelnõus pakutud ehk
kitsamast sõnastusest).
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 1 ja see läheb ka
suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 11 on NIS2 direktiivi I lisas märgitud 1-d-teine viide (direktiivi
2009/73/EÜ artikli 2 punktis 6 määratletud jaotussüsteemi haldurid). Direktiivi 2009/73/EÜ
artikli 2 punkti 6 kohaselt on jaotussüsteemi haldur defineeritud kui „füüsiline või juriidiline isik,
kes täidab gaasi jaotamise ülesannet ja vastutab jaotussüsteemi kasutamise eest, tagades selle
hoolduse ja vajadusel jaotussüsteemi ehitamise teatud paikkonnas, ning vajadusel gaasivõrgu
vastastikuse ühendamise teiste võrkudega, ning kes tagab võrgu pikaajalise võime rahuldada
mõistlikku nõudlust gaasi jaotamise järele“. Tolle punkti vaste direktiivis 2024/1788 on artikli 2
punkt 20 sõnastuses: „füüsiline või juriidiline isik, kes täidab maagaasi jaotamise ülesannet ja
vastutab jaotussüsteemi käitamise, selle hoolduse tagamise ja vajaduse korral arendamise eest
teatud paikkonnas, ning kohaldataval juhul selle teiste süsteemidega ühendamise eest ning selle
eest, et on tagatud süsteemi pikaajaline võime rahuldada mõistlikku nõudlust maagaasi jaotamise
järele“. Siinse teemaga on seotud ka direktiivi 2009/73/EÜ artikli 2 punkt 5 („jaotamine” –
maagaasi transportimine kohalike või piirkondlike torustike kaudu tarbijatele, välja arvatud
tarnimine), mille vaste on direktiivi 2024/1788 artikli 2 punkt 19 („jaotamine“ – maagaasi
transportimine kohalike või piirkondlike torustike kaudu selle edastamiseks tarbijatele, välja
arvatud tarnimine).
166 SE vastavustabeli vaste on siin sama mis eelmise punkti puhul, kuid eelduslikult on siin seos
maagaasiseaduse § 7 lõikega 3: „Gaasi jaotamine käesoleva seaduse tähenduses on gaasi
transportimine piirkondlike või jaotustorustike kaudu tarbijapaigaldisteni, kokkulepitud
liitumispunktini või liitumispunktist jaotustorustikuni, kaasa arvatud ülekandevõrgu osa, mida
kasutatakse gaasi kohalikuks jaotamiseks“. Sõna „üksus“ kohta vt allpool esitatud selgitust.
Eelnõu kommenteeritava punkti sõnastuses lähtuti ennekõike direktiivi 2009/73/EÜ sõnastusest
(millele NIS2 direktiivis on ka viidatud), mitte direktiivist 2024/1788 – erisus on sõna
„ehitamine“ vs „arendamine“ (eelnõus kasutatakse viimast).
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 1 ja see läheb ka
suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 12 on NIS2 direktiivi I lisas märgitud 1-d-kolmas viide (direktiivi
2009/73/EÜ artikli 2 punktis 4 määratletud ülekandesüsteemi haldurid). Direktiivi 2009/73/EÜ
artikli 2 punkti 4 kohaselt on ülekandesüsteemi haldur defineeritud kui „füüsiline või juriidiline
isik, kes täidab ülekande ülesannet ja vastutab ülekandesüsteemi kasutamise eest, tagades selle
hoolduse ja vajadusel ülekandesüsteemi ehitamise teatud paikkonnas, ning vajadusel
23 / 151
gaasivõrkude vastastikuse ühendamise teiste võrkudega, ning kes tagab võrgu pikaajalise võime
rahuldada mõistlikku nõudlust gaasi transportimise järele“. Tolle punkti vaste direktiivis
2024/1788 on artikli 2 punkt 18 sõnastuses: „füüsiline või juriidiline isik, kes täidab ülekande
ülesannet ja vastutab ülekandesüsteemi käitamise, selle hoolduse tagamise ja vajaduse korral
ülekandesüsteemi arendamise eest teatud paikkonnas, ning kohaldataval juhul selle teiste
süsteemidega ühendamise eest, ning selle eest, et on tagatud süsteemi pikaajaline võime
rahuldada mõistlikku nõudlust maagaasi transportimise järele“.
166 SE vastavustabeli vaste on siin sama, mis kommenteeritava lõike punkti 11 puhul, kuid
eelduslikult on siin seos maagaasiseaduse § 7 lõikega 2: „Gaasi ülekanne käesoleva seaduse
tähenduses on gaasi transportimine ülekandevõrgu kaudu kokkulepitud liitumispunktini või
liitumispunktist ülekandevõrguni. Gaasi ülekandeks ei peeta tootmisetapi torustiku ega
ülekandevõrgu osa kasutamist gaasi kohalikuks jaotamiseks.“ Sõna „üksus“ kohta vt allpool
esitatud selgitust. Eelnõu kommenteeritava punkti sõnastuses lähtuti nii direktiivi 2009/73/EÜ
sõnastusest (millele NIS2 direktiivis on ka viidatud) kui ka direktiivis 2024/1788 olevast
sõnastusest.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 1 ja see läheb ka
suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 13 on NIS2 direktiivi I lisas märgitud 1-d-neljas viide (direktiivi
2009/73/EÜ artikli 2 punktis 10 määratletud hoidlatevõrgu haldurid). Direktiivi 2009/73/EÜ
artikli 2 punkti 10 kohaselt on hoidlatevõrgu haldur „füüsiline või juriidiline isik, kes täidab gaasi
hoiustamise ülesannet ja vastutab gaasihoidla kasutamise eest“. Tolle punkti vaste direktiivis
2024/1788 on artikli 2 punkt 32: „füüsiline või juriidiline isik, kes täidab maagaasi hoiustamise
ülesannet ja vastutab maagaasihoidla käitamise eest“.
Maagaasiseaduse § 2 punktis 17 on hoidlatevõrgu haldur defineeritud kui „isik, kes täidab gaasi
hoiustamise ülesannet ja vastutab gaasihoidla nõuetekohase kasutamise eest“. Seetõttu on
kommenteeritavas punktis viidatud hoidlatevõrgu haldurile maagaasiseaduse tähenduses.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 1 ja see läheb ka
suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 14 on NIS2 direktiivi I lisas märgitud 1-d-viies viide (direktiivi
2009/73/EÜ artikli 2 punktis 12 määratletud maagaasi veeldusjaamade haldurid). Direktiivi
2009/73/EÜ artikli 2 punkti 12 kohaselt on maagaasi veeldusjaamade haldur „füüsiline või
juriidiline isik, kes täidab maagaasi veeldamise või impordi, mahalaadimise ja taasgaasistamise
ülesannet ning vastutab maagaasi veeldusjaama kasutamise eest“. Tolle punkti vaste direktiivis
2024/1788 on artikli 2 punkt 34: „füüsiline või juriidiline isik, kes täidab maagaasi veeldamise
või veeldatud maagaasi impordi, mahalaadimise ja taasgaasistamise ülesannet ning vastutab
maagaasi veeldusjaama kasutamise eest“.
Maagaasiseaduse § 2 punktis 18 on veeldatud gaasi terminali haldur defineeritud kui „isik, kes
täidab gaasi veeldamise, impordi, ümberlaadimise ja taasgaasistamise ülesannet ning vastutab
24 / 151
gaasi veeldusjaama nõuetekohase kasutamise eest“. Seetõttu on kommenteeritavas punktis
viidatud veeldatud gaasi terminali haldurile maagaasiseaduse tähenduses.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 1 ja see läheb ka
suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 15 on NIS2 direktiivi I lisas märgitud 1-d-kuues viide (direktiivi
2009/73/EÜ artikli 2 punktis 1 määratletud maagaasiettevõtjad). Direktiivi 2009/73/EÜ artikli 2
punkti 1 kohaselt on maagaasiettevõtja „füüsiline või juriidiline isik, kelle vähemalt üks ülesanne
on maagaasi, sealhulgas veeldatud maagaasi tootmine, ülekandmine, jaotamine, tarnimine,
ostmine või hoiustamine, ning kes vastutab nende ülesannetega seotud kaubanduslike, tehniliste
ja/või hooldusküsimuste eest, välja arvatud lõpptarbijaid“. Tolle punkti vaste direktiivis
2024/1788 on artikli 2 punkt 15 sõnastuses: „füüsiline või juriidiline isik, kes tegeleb maagaasi,
sealhulgas veeldatud maagaasi tootmise, ülekandmise, jaotamise, tarnimise, ostmise või
hoiustamisega ning kes vastutab nende ülesannetega seotud kaubanduslike, tehniliste või
hooldusküsimuste eest, välja arvatud lõpptarbijad“.
Maagaasiseaduse §-s 4 on gaasiettevõtja defineeritud kui „ettevõtja, kes tegutseb vähemalt ühel
tegevusalal, milleks on gaasi tootmine, import, ülekanne, jaotamine, hoiustamine või müük, ning
kes vastutab selle tegevusega seonduva kaubandusliku või hooldusküsimuse lahendamise eest“.
Seetõttu on kommenteeritavas punktis viidatud gaasiettevõtjale maagaasiseaduse tähenduses.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 1 ja see läheb ka
suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 16 on NIS2 direktiivi I lisas märgitud 1-d-seitsmes viide (maagaasi
rafineerimise ja töötlemise rajatiste haldurid). Maagaasiseaduses sellekohast definitsiooni pole,
samuti mitte direktiivis 2024/1788, mistõttu on kasutatud NIS2 direktiivi I lisas olevat sõnastust.
Esialgsel hinnangul kommenteeritava punkti sõnastusele vastavaid üksusi pole, kuid eelnõu
koostajad ootavad tagasisidet, kas see vastab tõele.
KüTS § 1 lg 12 punkt 17 on NIS2 direktiivi I lisas märgitud 1-e-esimene viide (vesiniku
tootmise, hoiustamise ja ülekandmisega tegelevad operaatorid). Direktiiv 2009/73/EÜ ei sisalda
viiteid vesinikule ega sellega seotud üksustele, kuid direktiivis 2024/1788 on näiteks artikli 2
punktis 14 defineeritud vesinikuettevõtja kui „füüsiline või juriidiline isik, kes täidab vähemalt
üht järgmistest ülesannetest: vesiniku tootmine, transportimine, tarnimine, ostmine või
hoiustamine või vesinikuterminali käitamine, ning kes vastutab nende ülesannetega seotud
kaubanduslike, tehniliste või hooldusküsimuste eest, välja arvatud lõpptarbijad“.
Eelnõu koostajatena ootame tagasisidet, et kas kommenteeritava punkti sõnastuse puhul tuleks
lähtuda direktiivist 2024/1788 (ehk praktilises mõttes laiendada sõnastust võrreldes NIS2
direktiivi sõnastusega) või kasutada NIS2 direktiivi I lisa sõnastust (sama, mis eelnõus).
Esialgsel hinnangul kommenteeritava punkti sõnastusele vastavaid üksusi pole, kuid eelnõu
koostajatena ootame tagasisidet, kas see vastab tõele.
25 / 151
KüTS § 1 lg 12 punkt 18 on NIS2 direktiivi I lisas märgitud 2-a-esimene viide
(kommertsvaldkonnas tegutsevad määruse (EÜ) nr 300/2008, mis käsitleb
tsiviillennundusjulgestuse ühiseeskirju ja millega tunnistatakse kehtetuks määrus (EÜ) nr
2320/2002, artikli 3 punktis 4 määratletud lennuettevõtjad). Viidatud määruse artikli 3 punkti 4
kohaselt on lennuettevõtjaks „kehtiva lennutegevusloaga või samaväärse loaga õhuveoettevõtja“.
Kommenteeritavasse punkti on lisatud lauseosa „kes tegutseb kommertsvaldkonnas“ et
kitsendada kohaldamisala nii nagu on NIS2 direktiivi I lisas ette nähtud.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 3 ja need lähevad ka
suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 19 on NIS2 direktiivi I lisas märgitud 2-a-teine viide (Euroopa
Parlamendi ja nõukogu direktiivi 2009/12/EÜ, lennujaamatasude kohta (edaspidi direktiiv
2009/12/EÜ), artikli 2 punktis 2 määratletud lennujaama juhtorganid, nimetatud direktiivi artikli
2 punktis 1 määratletud lennujaamad, sealhulgas Euroopa Parlamendi ja nõukogu määruse (EL)
nr 1315/2013 II lisa 2. jaos loetletud põhivõrgu lennujaamad ning lennujaamades olevaid
abirajatisi käitavad üksused). Direktiivi 2009/12/EÜ artikli 2 punkti 2 kohaselt on lennujaama
juhtorgan „asutus, kelle ainuülesandeks või lisaülesandeks – olenevalt olukorrast – on riiklike
õigus- või haldusaktide või lepingute alusel lennujaama või lennujaamade võrgustiku
infrastruktuuri haldamine ja juhtimine ning asjaomases lennujaamas või lennujaamade
võrgustikus tegutsevate eri käitajate tegevuse koordineerimine ja kontrollimine“. Direktiivi
2009/12/EÜ artikli 2 punkti 1 kohaselt on lennujaam „mis tahes maa-ala, mis on spetsiaalselt
kohandatud õhusõidukite maandumiseks, õhkutõusmiseks ja manööverdamiseks, kaasa arvatud
lennuliikluse ja -teenuste nõuete täitmiseks vajalikud abirajatised, sealhulgas ärilendude
teenindamiseks vajalikud rajatised“.
Riigikogus 01.05.2022. a vastu võetud lennundusseaduse ja riigilõivuseaduse muutmise seadus
477 SE25 seletuskirja (edaspidi 477 SE seletuskiri) lk-del 57-58 on lennundusseaduse §-de 502 ja
503 kohta märgitud järgmist:
"LennS-i § 502 lg 1 jäetakse välja osa „(edaspidi käesolevas peatükis lennujaam)“. Terminit
„lennujaam“ kasutab LennS läbivalt ega ole põhjendatud anda seaduse eri osades sellele erinev
tähendus. Selleks, et LennS-i 82. peatükk kohalduks üksnes äriliseks lennuliikluseks avatud
suurima reisijate arvuga lennujaamale, ei ole vajalik, et terminil „lennujaam“ oleks 82. peatükis
ülejäänud seadusest erinev tähendus. Muudatus on vajalik, et LennS-i §-des 503 ja 504
defineeritud terminid oleksid kasutatavad ka eelnõuga LennS-i lisatavas peatükis 83. Ilma
muudatuseta oleks 83. peatükis vaja uuesti defineerida terminid „lennujaama haldaja“ ja
„lennujaama kasutaja“.
EL-i lennundusohutuse alusmäärus kasutab termini „lennujaam“ asemel terminit „lennuväli“.
LennS-is on kasutatud mõlemat. Kuna direktiivis 96/67/EÜ kasutatakse terminit „lennujaam“, on
25 https://www.riigikogu.ee/tegevus/eelnoud/eelnou/d2392b95-c13e-44e0-b03d-069c1855fb53/.
26 / 151
eelnõus kasutatud maapealse teeninduse teenuste osutamise kontekstis samuti terminit
„lennujaam“.
Et korrastada LennS-is terminite „lennujaam“ ja „lennuväli“ kasutamine, eeldab kogu seaduse
süsteemset analüüsimist ja muutmist, ent see väljub käesoleva eelnõu raamest.
LennS-i § 503 muudetakse, et lennujaama haldaja definitsioon vastaks nii direktiivi 2009/12/EÜ
artikli 2 punktile 2 kui ka direktiivi 96/67/EÜ artikli 2 punktile c.
Paragrahvile lisatakse lõige 2, milles täpsustatakse lennujaama haldaja definitsiooni direktiivi
96/67/EÜ artikli 3 lõike 1 kohaselt.
Lõikes 2 täpsustatakse, et kui lennujaama juhib või haldab mitu eri isikut või organit, on LennS-i
tähenduses lennujaama haldaja iga selline isik või organ.
Paragrahvis 503 kasutatud termin „lennujaama haldaja“ erineb EL-i lennundusohutuse
alusmääruse artikli 3 punktis 14 kasutatud terminist „lennuvälja käitaja“, sest direktiivides
2009/12/EÜ ja 96/67/EÜ on kasutusel alusmäärusest erinevad terminid.
Et korrastada LennS-i terminite „lennujaama haldaja“ ja „lennuvälja käitaja“ kasutamine,
eeldab kogu seaduse süsteemset analüüsimist ja muutmist, ent see väljub käesoleva eelnõu
raamest.".
Lennundusseaduse § 503 lõikes 1 on märgitud, et „lennujaama haldaja on lennujaama haldav
isik, kelle ülesanne on õigusaktide ja lepingute alusel hallata ja juhtida lennujaama taristut ning
koordineerida ja kontrollida lennujaamas tegutsevate käitajate tegevust“ ning lõikes 2 on
sätestatud, et „kui lennujaama haldab mitu isikut, on lennujaama haldaja iga selline isik“.
Seetõttu ning arvestades 477 SE seletuskirjas olevaid selgitusi lennundusseaduse § 503 kohta, on
kommenteeritava punkti puhul siinses eelnõus otsustatud teha „lennujaama juhtorganite“ kohta
viide lennundusseaduses olevale lennujaama haldajale.
Euroopa Parlamendi ja nõukogu määrus (EL) nr 1315/2013 üleeuroopalise transpordivõrgu
arendamist käsitlevate liidu suuniste kohta ja millega tunnistatakse kehtetuks otsus nr
661/2010/EL (edaspidi määrus 1315/2013), tunnistati 17.07.2024. a kehtetuks Euroopa
Parlamendi ja nõukogu määrusega (EL) 2024/1679, milles käsitletakse liidu suuniseid
üleeuroopalise transpordivõrgu arendamise kohta ning millega muudetakse määrusi (EL)
2021/1153 ja (EL) nr 913/2010 ja tunnistatakse kehtetuks määrus (EL) nr 1315/2013 (edaspidi
määrus 2024/1679). Määruse 2024/1679 artikli 68 kohaselt käsitatakse viiteid kehtetuks
tunnistatud määrusele nr 1315/2013 viidetena määrusele 2024/1679 ja neid loetakse vastavalt VII
lisas esitatud vastavustabelile. Määruse nr 1315/2013 II lisa 2. jaos loetletud põhivõrgu
lennujaamadest on Eesti puhul lennujaama tulbas märgitud põhivõrgu lennujaamadena Tallinn ja
Tartu. Määruse 2024/1679 vastavustabeli (VII lisa) kohaselt vastab määruse nr 1315/2013 II lisa
määruse 2024/1679 II lisale (üleeuroopalise transpordivõrgu transpordisõlmede loetelu), mille
lennujaama tulbas on Eesti puhul märgitud põhivõrguna ainult Tallinn. Samas tabelis on
lennujaamade tulbas üldvõrguna märgitud Kärdla, Kuressaare, Pärnu ja Tartu. Arvestades, et
27 / 151
Tallinna lennujaam on hõlmatud ka direktiivi 2009/12/EÜ artikli 2 punkti 1 kohase lennujaama
definitsiooniga, pole eelnõus eraldi viidet Tallinnale kui määruse 2024/1679 II lisas märgitud
põhivõrgu lennuväljale. Eelnõus on tehtud viide nimetatud direktiivile, mitte Eesti õigusele
seetõttu, et lennundusseaduses ei ole lennujaama eraldi defineeritud.
NIS2 direktiiv ei täpsusta, mida peetakse silmas lennujaamas olevate abirajatisi käitavate
üksustena, kuid eelduslikult on siin nt Tallinna lennujaama puhul mõeldud ASi Tallinna
Lennujaam tütarettevõtjate (Tallinn Airport GH ja AS Airport City) tegevusi. Eelnõu
koostajatena ootame tagasisidet, kas nimetatud üksuste kirjeldus on selge ja arusaadav.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 1 ja see läheb ka
suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 20 on NIS2 direktiivi I lisas märgitud 2-a-kolmas viide (Euroopa
Parlamendi ja nõukogu määruse (EÜ) nr 549/2004, millega sätestatakse raamistik ühtse
Euroopa taeva loomiseks (raammäärus) (edaspidi määrus 549/2004) artikli 2 punktis 1
määratletud lennujuhtimise teenust osutavad liikluskorraldusettevõtjad). Määruse 549/2004
artikli 2 punkti 1 kohaselt on lennujuhtimine „teenindus, mille eesmärk on: a) kokkupõrgete
vältimine: i) õhusõidukite vahel ja 2) manööverdusalal olevate õhusõidukite ja takistuste vahel;
ning (b) lennuliikluse sujuvuse parandamine ja säilitamine“.
Sama määruse artikli 2 punkti 10 kohaselt on lennuliikluse korraldamine „kõik õhus ja maa peal
tehtavad toimingud (lennuliiklusteenused, õhuruumi korraldamine ja lennuliikluse voogude
juhtimine), mis on nõutavad õhusõiduki ohutu ja tõhusa liikumise tagamiseks kõikides
lennuetappides“. Seetõttu on eelnõus kommenteeritava punkti sõnastuses kasutatud sõna
„lennuliikluskorraldusettevõtja“, et oleks konkreetsemalt aru saada, et tegemist on lennunduse
valdkonnas tegutseva liiklust korraldava ettevõtjaga.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 1 ja see läheb ka
suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 21 on NIS2 direktiivi I lisas märgitud 2-b-esimene viide (Euroopa
Parlamendi ja nõukogu direktiivi 2012/34/EL, millega luuakse ühtne Euroopa raudteepiirkond
(edaspidi direktiiv 2012/34/EL), artikli 3 punktis 2 määratletud raudteeinfrastruktuuri-
ettevõtjad) ja teine viide (direktiivi 2012/34/EL artikli 3 punktis 3 määratletud raudteeveo-
ettevõtjad, sealhulgas nimetatud direktiivi artikli 3 punktis 12 määratletud teenindusrajatiste
käitajad).
Direktiivi 2012/34/EL artikli 3 punkti 2 kohaselt on raudteeinfrastruktuuri-ettevõtja „asutus või
ettevõtja, kes vastutab raudteevõrgustikul raudteeinfrastruktuuri käitamise, hooldamise ja
uuendamise ning samuti selle arendamises osalemise eest vastavalt liikmesriigi infrastruktuuri
arendamise ja rahastamise üldise poliitika raames sätestatule“. Raudteeseaduse § 2 punkt 14
defineerib raudteeinfrastruktuuriettevõtja kui: „raudtee-ettevõtja, kelle ülesanneteks on avalikul
raudteevõrgustikul raudteeinfrastruktuuri majandamine, käitamine, hooldamine ja uuendamine
ning raudteeinfrastruktuuri arendamises osalemine vastavalt [raudteeseaduse] § 73 lõikes 1
28 / 151
nimetatud tegevuskavale“. Raudteeseaduse § 2 punkt 13 defineerib raudtee-ettevõtja kui:
„füüsilisest isikust ettevõtja või äriühing, kelle tegevuseks on raudteevedu või kes täidab
raudteeinfrastruktuuriettevõtja ülesandeid“.
Direktiivi 2012/34/EL artikli 3 punkti 1 kohaselt on raudteeveo-ettevõtja „vastavalt [direktiivile
2012/34/EL] tegevusloa saanud avalik-õiguslik või eraõiguslik ettevõtja, kelle peamine
tegevusala on osutada raudtee-kaubaveoteenuseid ja/või raudtee-reisijateveo teenuseid ja kes on
kohustatud tagama veduriteenuse; see hõlmab ka ainult veduriteenust osutavaid ettevõtjaid“.
Raudteeseaduse § 2 punkti 29 järgi on raudteeveoettevõtja „vastava tegevusloa saanud ettevõtja,
kelle peamine tegevusala on raudteevedu ja kes on kohustatud tagama veduriteenuse, samuti isik,
kes osutab ainult veduriteenust“. Raudteeseaduse § 2 punkti 25 järgi on raudteevedu „kauba- või
reisijatevedu ja veduriteenuse osutamine raudteel või ainult veduriteenuse osutamine“.
Direktiivi 2012/34/EL artikli 3 punkti 12 kohaselt on teenindusrajatise käitaja „avalik-õiguslik või
eraõiguslik isik, kes on vastutav ühe või mitme teenindusrajatise juhtimise või ühe või mitme
[sama direktiivi] II lisa punktides 2–4 osutatud teenuse osutamise eest raudteeveo-ettevõtjatele“.
Raudteeseaduse § 95 lõige 95 defineerib teenindusrajatise käitaja kui: „ettevõtja, kes majandab
ühte või mitut teenindusrajatist või osutab ühes või mitmes teenindusrajatises asjakohast teenust
või [raudteeseaduse] § 94 lõikes 2 või 3 nimetatud teenust raudteeveoettevõtjale“.
Eeltoodu tõttu on kommenteeritavas punktis viidatud raudteeseaduse vastavatele mõistetele.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 2 ja need lähevad ka
suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 22 on NIS2 direktiivi I lisas märgitud 2-c-esimene viide (Euroopa
Parlamendi ja nõukogu määruse (EÜ) nr 725/2004, laevade ja sadamarajatiste turvalisuse
tugevdamise kohta (edaspidi määrus 725/2004), I lisas meretranspordi puhul määratletud
reisijate ja kauba vedamisega sisevetes, merel ja rannavetes tegelevad ettevõtjad, välja arvatud
kõnealuste ettevõtjate käidatud üksikud laevad). Kommenteeritava punkti sõnastus on sama mis
NIS2 direktiivi I lisas. Lauseosa „välja arvatud kõnealuse ettevõtja käidatud üksikud laevad“
tähendab, et kohaldamisalas ei ole konkreetsed laevad ehk laevas olevad võrgu- ja infosüsteemid.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 5 ja nendest 3
lähevad ka suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 23 on NIS2 direktiivi I lisas märgitud 2-c-teine viide (Euroopa
Parlamendi ja nõukogu direktiivi 2005/65/EÜ, sadamate turvalisuse tugevdamise kohta (edaspidi
direktiiv 2005/65/EÜ), artikli 3 punktis 1 määratletud sadamate valdajad, sealhulgas nende
määruse nr 725/2004 artikli 2 punktis 11 määratletud sadamarajatised ning sadamates tööde ja
varustuse haldamisega tegelevad üksused). Direktiivi 2005/65/EÜ artikli 3 punktis 1 on sadam
„teatud maa- ja veeala, mille piirid on määratlenud sadama asukoha liikmesriik ning mis
koosneb kaubandusliku meretranspordi hõlbustamiseks ette nähtud seadmetest ja rajatistest“.
Sadamaseaduse § 2 punktis 1 on sadam defineeritud kui „veesõidukite sildumiseks kohandatud ja
29 / 151
sadamateenuse osutamiseks kasutatav maa- ja veeala ning seal asuvad sadama sihtotstarbeliseks
kasutamiseks vajalikud ehitised“.
Kommenteeritavas punktis on kasutatud KüTS § 3 lg 1 p 4 ("sadamateenuse osutaja, kes on
sadamaseaduse tähenduses sellise sadama pidaja või sellise sadamarajatise valdaja, mis
teenindab 500-se ja enama kogumahutavusega laevu või rahvusvahelises meresõidus sõitvaid
reisilaevu sadama toimimise teenuse osutamisel") kehtiva sõnastuse eeskuju. Seetõttu on
kommenteeritavas punktis viide sadamaseadusele.
Määruse nr 725/2004 artikli 2 punktis 11 on sadamarajatis defineeritud kui: "laeva ja sadama
vahelise liidese koht; see hõlmab vastavalt asjaoludele ka selliseid alasid nagu ankrupaigad,
ooteplatvormid ja sildumisalad". Sadamaseaduse § 2 punktis 9 on sadamarajatus defineeritud
kui: „sadama maa-alal või akvatooriumil (edaspidi mõlemad koos sadamaala) turvanõuete
täitmiseks määratud laeva ja sadama vahelise koostöö ja liidese koht, mis hõlmab vajaduse
korral ka sadama territooriumi, akvatooriumi ja sissesõiduteed“. Kuna NIS2 direktiiv viitab
otsekohalduvale määrusele, on kommentaaritavas punktis viidatud nii määrusele kui ka
sadamaseadusele.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 10 ja nendest 5
lähevad ka nn suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 24 on NIS2 direktiivi I lisas märgitud 2-c-kolmas viide (Euroopa
Parlamendi ja nõukogu direktiivi 2002/59/EÜ, millega luuakse ühenduse laevaliikluse seire- ja
teabesüsteem ning tunnistatakse kehtetuks nõukogu direktiiv 93/75/EMÜ (edaspidi direktiiv
2002/59/EÜ), artikli 3 punktis o määratletud laevaliikluse juhtimise keskuste (VTS) operaatorid).
Direktiivi 2002/59/EÜ artikli 3 punktis o on laevaliikluse juhtimise keskus (VTS) defineeritud
kui „talitus, mis on kavandatud laevaliikluse ohutuse ja tõhususe tõstmiseks ning keskkonna
kaitsmiseks ning mis suudab laevaliiklusega seoses infot vahetada ja reageerida laevaliikluse
juhtimise piirkonnas laevaliikluses tekkivatele olukordadele“.
Kommenteeritava punktiga seotud teemad on reguleeritud meresõiduohutuse seaduse 12.
peatükis, mille § 51 (laevaliikluse korraldamise süsteemi eesmärk) lg 2 kohaselt korraldab
nimetatud süsteemi tööd Transpordiamet. Sama paragrahvi lõikes 22 on sätestatud: „Laevaliikluse
korraldamise süsteemi tööpiirkond jaguneb laevaliiklusteeninduse piirkonnaks ja Soome lahe
laevaettekannete süsteemi piirkonnaks.“
Eelnõu koostajatena ootame tagasisidet, kas kommenteeritav punkt on vajalik, kui arvestada
asjaoluga, et Transpordiamet on KüTSi subjektiks (vt kavandatav KüTS § 1 lg 13 p 7 ja seotud §
2 p 12). Kui kommenteeritav punkt on vaja lisada, siis soovime teada, kas eelnõuga pakutud
sõnastus on sobivaim või tuleks kasutada muud sõnastust, näiteks konkreetsemat viidet
meresõiduohutuse seadusele vms.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 1 ja see läheb ka
suuruse kriteeriumi alla.
30 / 151
KüTS § 1 lg 12 punkt 25 on NIS2 direktiivi I lisas märgitud 2-d-teine viide (Euroopa
Parlamendi ja nõukogu direktiivi 2010/40/EL, mis käsitleb raamistikku intelligentsete
transpordisüsteemide kasutuselevõtmiseks maanteetranspordis ja liideste jaoks teiste
transpordiliikidega (edaspidi direktiiv 2010/40/EL), artikli 4 punktis 1 määratletud
intelligentsete transpordisüsteemide operaatorid). Direktiivi 2010/40/EL artikli 4 punktis 1 on
intelligentsed transpordisüsteemid defineeritud kui „süsteemid, milles info- ja sidetehnoloogiat
rakendatakse maanteetranspordi valdkonnas (sh infrastruktuur, sõidukid ja kasutajad),
liikluskorralduses ja liikuvuse juhtimises ning samuti liidesteks teiste transpordiliikidega.“
Liiklusseaduse § 61 lõikes 1 on intelligentne transpordisüsteem defineeritud kui „süsteem, milles
rakendatakse info- ja sidetehnoloogiat teeliikluse valdkonnas, sealhulgas infrastruktuur, sõidukid
ja kasutajad, liikluskorralduses ja liikuvuse juhtimises ning samuti liidesena teise
transpordiliigiga“. Seetõttu on tehtud ka viide liiklusseadusele. Operaatori all mõeldakse
juriidilist isikut, kes haldab intelligentset transpordisüsteemi.
Direktiiv 2010/40/EL võeti üle 02.05.2012. a liiklusseaduse muutmise seadusega 182 SE.26
Nimetatud seaduse eelnõu seletuskirja lk-l 2 on selgitatud liiklusseaduse § 61 lõike 1 sisu, sh et
intelligentse transpordisüsteemi „alla liigituvad näiteks ühistranspordi kasutajatele mõeldud
reaalaja infosüsteemid, samuti mitmesugused liikluse turvalisusele (automaatsed hoiatused jms)
või liiklusoludest sõltuvalt optimaalse marsruudi planeerimisele suunatud rakendused“.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 5 ja nendest 3
lähevad ka suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 26 on NIS2 direktiivi I lisas märgitud 3-esimene viide (Euroopa
Parlamendi ja nõukogu määruse (EL) nr 575/2013, krediidiasutuste ja investeerimisühingute
suhtes kohaldatavate usaldatavusnõuete kohta ja määruse (EL) nr 648/2012 muutmise kohta
(edaspidi määrus 575/2013), artikli 4 punktis 1 määratletud krediidiasutused). Määruse 575/2013
artikli 4 punktis 1 on krediidiasutus defineeritud kui „ettevõtja, kelle äritegevus seisneb
järgmises:
a) hoiuste või muude tagasimakstavate vahendite vastuvõtmine avalikkuselt ja oma arvel laenu
andmine;
b) Euroopa Parlamendi ja nõukogu direktiivi 2014/65/EL I lisa A jao punktides 3 ja 6 osutatud
tegevus, kui täidetud on üks järgmistest tingimustest ning ettevõtja ei ole kaubadiiler, lubatud
heitkoguse väärtpaberite diiler, investeerimisfond ega kindlustusandja:
i) ettevõtja konsolideeritud vara koguväärtus on 30 miljardit eurot või rohkem;
ii) ettevõtja vara koguväärtus on alla 30 miljardi euro ning ettevõtja kuulub
konsolideerimisgruppi, mille puhul kõigi selliste sinna kuuluvate ettevõtjate, kes tegelevad
direktiivi 2014/65/EL I lisa A jao punktides 3 ja 6 osutatud tegevusega ja kellest iga üksiku
26 https://www.riigikogu.ee/tegevus/eelnoud/eelnou/7cebb80f-133c-41b9-8e38-bd2b28661cb6/.
31 / 151
ettevõtja vara koguväärtus on alla 30 miljardi euro, konsolideeritud vara koguväärtus on 30
miljardit eurot või rohkem, või
iii) ettevõtja vara koguväärtus on alla 30 miljardi euro ning ettevõtja kuulub
konsolideerimisgruppi, mille puhul kõigi selliste sinna kuuluvate ettevõtjate, kes tegelevad
direktiivi 2014/65/EL I lisa A jao punktides 3 ja 6 osutatud tegevusega, konsolideeritud vara
koguväärtus on 30 miljardit eurot või rohkem, kui konsolideeritud järelevalvet tegev asutus
järelevalvekolleegiumiga konsulteerides nii otsustab, et käsitleda võimalikku nõuete täitmisest
kõrvalehoidmise riski ja võimalikke liidu finantsstabiilsust ohustavaid riske;
punkti b alapunktide ii ja iii kohaldamisel, kui ettevõtja kuulub kolmanda riigi
konsolideerimisgruppi, arvestatakse iga liidus tegevusloa saanud kolmanda riigi
konsolideerimisgrupi filiaali koguvara kõigi konsolideerimisgruppi kuuluvate ettevõtjate vara
koguväärtuse hulka.“
Arvestades NIS2 direktiivi artiklit 4, kohaldatakse DORA määruse artikli 2 lõike 1 punkti a tõttu
krediidiasutustele DORA määruse nõudeid (vt täpsemalt NIS2 artiklit 4 ja DORA määruse
põhjenduspunkte 15–18). Kommenteeritava punktiga seoses vt ka KüTS § 1 lõike 4 muudatuste
ning samasse paragrahvi kavandatava lõike 41 selgitusi.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 10 ja need lähevad
ka suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 27 on NIS2 direktiivi I lisas märgitud 4-esimene viide (Euroopa
Parlamendi ja nõukogu direktiivi 2014/65/EL, finantsinstrumentide turgude kohta ning millega
muudetakse direktiive 2002/92/EÜ ja 2011/61/EL (edaspidi direktiiv 2014/65/EL), artikli 4
punktis 24 määratletud kauplemiskohtade korraldajad). Direktiivi 2014/65/EL artikli 4 punktis
24 on kauplemiskoht defineeritud kui „reguleeritud turg, mitmepoolne kauplemissüsteem või
organiseeritud kauplemissüsteem“. Siin on asjakohased sama direktiivi artikli punktid 21, 22 ja
23:
„21) „reguleeritud turg” – turukorraldaja poolt korraldatav ja/või juhitav mitmepoolne süsteem,
milles viiakse kokku mitmed kolmandate isikute omandamis- ja võõrandamishuvid seoses
süsteemis olevate finantsinstrumentidega või hõlbustatakse nende kokkuviimist vastavalt
ühetaolistele eeskirjadele, mille tulemuseks on lepingu sõlmimine seoses finantsinstrumentidega,
mis on süsteemi eeskirjade ja/või süsteemide kohaselt kauplemisele lubatud, ning millel on
tegevusluba ja mis toimib regulaarselt ja kooskõlas [direktiivi 2014/65/EL] III jaotisega;
22) „mitmepoolne kauplemissüsteem” – investeerimisühingu või turukorraldaja poolt
korraldatav mitmepoolne süsteem, milles viiakse kokku mitmed kolmandate isikute omandamis-
ja võõrandamishuvid seoses süsteemis olevate finantsinstrumentidega vastavalt ühetaolistele
eeskirjadele, mille tulemuseks on lepingu sõlmimine kooskõlas [direktiivi 2014/65/EL] II
jaotisega;
32 / 151
23) „organiseeritud kauplemissüsteem” – mitmepoolne süsteem, mis ei ole reguleeritud turg ega
mitmepoolne kauplemissüsteem ning mis võimaldab erinevate kolmandate isikute omandamis- ja
võõrandamishuvisid seoses võlakirjade, struktureeritud finantstoodete, lubatud heitkoguse
väärtpaberite või tuletisinstrumentidega viia süsteemis kokku selliselt, et kõnealuse kokkuviimise
tulemuseks on lepingu sõlmimine kooskõlas [direktiivi 2014/65/EL] II jaotisega;“.
Arvestades NIS2 direktiivi artiklit 4, kohaldatakse DORA määruse artikli 2 lõike 1 punkti i tõttu
kauplemiskohtadele DORA määruse nõudeid (vt täpsemalt NIS2 direktiivi artiklit 4 ja DORA
määruse põhjenduspunkte 15-18). Kommenteeritava punktiga seonduvalt vt ka KüTS § 1 lõike 4
muudatuste ning samasse paragrahvi kavandatava lõike 41 selgitusi.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 1 ja see läheb ka
suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 28 on NIS2 direktiivi I lisas märgitud 4-teine viide (Euroopa Parlamendi
ja nõukogu määruse (EL) nr 648/2012, börsiväliste tuletisinstrumentide, kesksete vastaspoolte ja
kauplemisteabehoidlate kohta (edaspidi määrus 648/2012), artikli 2 punktis 1 määratletud
kesksed vastaspooled). Määruse 648/2012 artikli 2 punktis 1 on keskne vastaspool defineeritud
kui „ühel või mitmel finantsturul kaubeldavate lepingute vastaspoolte vahel asuv juriidiline isik,
kes on iga müüja jaoks ostja ja iga ostja jaoks müüja“. Arvestades NIS2 direktiivi artiklit 4,
kohaldatakse DORA määruse artikli 2 lõike 1 punkti h tõttu kesksetele vastaspooltele DORA
määruse nõudeid (vt täpsemalt NIS2 direktiivi artiklit 4 ja DORA määruse põhjenduspunkte 15–
18). Kommenteeritava punktiga seonduvalt vt ka KüTS § 1 lõike 4 muudatuste ning samasse
paragrahvi kavandatava lõike 41 selgitusi.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 1 ja see läheb ka
suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 29 on NIS2 direktiivi I lisas märgitud 5-kolmas viide (üksused, mis
tegelevad Euroopa Parlamendi ja nõukogu direktiivi 2001/83/EÜ, inimtervishoius kasutatavaid
ravimeid käsitlevate ühenduse eeskirjade kohta (edaspidi direktiiv 2001/83/EÜ), artikli 1 punktis
2 määratletud ravimite uurimise ja arendamisega). Direktiivi 2001/83/EÜ artikli 1 punktis 2 on
ravim defineeritud kui: „a) aine või ainete kombinatsioon, mille omadused on ette nähtud
inimeste haiguste raviks või nende ärahoidmiseks; või b) kõik sellised ained või ainete
kombinatsioonid, mida võib kasutada või manustada inimeste meditsiiniliseks diagnoosimiseks
või füsioloogilise talitluse taastamiseks, parandamiseks või modifitseerimiseks farmakoloogilise,
immunoloogilise või ainevahetusliku toime avaldamise kaudu.“
Ravimiseaduse § 2 lõikes 1 on ravimiks „aine või ainete kombinatsioon, mis on mõeldud inimese
haiguse või haigussümptomi vältimiseks, diagnoosimiseks või ravimiseks, haigusseisundi
kergendamiseks või elutalitluse taastamiseks või muutmiseks farmakoloogilise, immunoloogilise
või metaboolse toime kaudu“. Sama paragrahvi lõikes 2 on märgitud: „Ravimina käsitatakse ka
veterinaarravimit Euroopa Parlamendi ja nõukogu määruse (EL) 2019/6 artikli 4 punkti 1
tähenduses“. Kuna NIS2 direktiivis olev viide on seotud inimestega seotud ravimitega, siis on
33 / 151
kommenteeritavasse punkti on lisatud välistus, et tegemist ei ole veterinaarravimiga Euroopa
Parlamendi ja nõukogu määruse (EL) 2019/6, mis käsitleb veterinaarravimeid ning millega
tunnistatakse kehtetuks direktiiv 2001/82/EÜ, artikli 4 punkti 1 tähenduses.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 1 ja see läheb ka
suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 30 on NIS2 direktiivi I lisas märgitud 5-neljas viide (NACE Rev. 2 C jao
jaotises 21 osutatud põhifarmaatsiatooteid ja ravimpreparaate tootvad üksused). Üldjuhul ei
viidata Eesti õigusaktides Eurostati klassifikaatorile NACE, vaid kasutatakse EMTAK 2008
klassifikaatorile, kuid eelnõus ei ole võimalik EMTAK-i kasutada, kuna see ei ühti üks-üheselt
NACE Revision 2 klassifikaatoriga. NACE Revision 2 jagu C jaotis 21 sisu ei ole sama EMTAK
C jao 21. osaga sama (EMTAKis on hõlmatud ka „provitamiinid“, „hormoonid“, „glükosiidid,
taimsed alkaloidid ning nende derivaadid“, „lüsiin, selle estrid ja nende soolad, glutamiinhape ja
selle soolad“, „luutaastustsementide tootmine“, „haavaplaastrite tootmine“ ning „kõrvaküünalde
tootmine“). Kui kommenteeritavas punktis kasutada viidet EMTAK 2008 klassifikaatorile, siis
siin toimuks NIS2 direktiivi laiendamine, kuid eelnõu eesmärgiks on NIS2 direktiiv võtta kitsalt
üle. Seetõttu on kommenteeritavas punktis viide Eurostati NACE 2 klassifikaatorile.
01.01.2025 hakkab kehtima EMTAK 2025 tegevusalade klassifikaator, mis asendab EMTAK
2008 klassifikaatori ning selle koostamisel on lähtutud NACE Revision 2.1 klassifikaatorist.27
Arvestades asjaolu, et NACE Revision 2.1 on uuem klassifikaator, siis kui eelnõus kasutada
viitena tollele klassifikaatorile või EMTAK 2025 klassifikaatorile, siis tolle klassifikaatori sisu on
eelduslikult samamoodi laiem kui NACE Revision 2, mis tähendaks, et eelnõu võtaks asjakohase
NIS2 direktiivi sätte üle laiendatult. Tegemist on eeldusega, kuna eelnõu koostamise käigus ei
olnud võimalik täpsemalt üle kontrollida nende versioonide erinevust, kuid see eeldus lähtub
eelmises tekstilõigus märgitud erisuste tuvastamisest NACE Revision 2 ja EMTAK 2008 vahel.
Seetõttu ei ole eelnõus kasutatud viitena EMTAK 2025 tegevusalade klassifikaatorile.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 3 ja need lähevad ka
suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 31 on NIS2 direktiivi I lisas märgitud 5-viies viide (üksused, mis toodavad
rahvatervise hädaolukorras kriitilise tähtsusega meditsiiniseadmeid (rahvatervise hädaolukorra
esmatähtsate meditsiiniseadmete loetelu) Euroopa Parlamendi ja nõukogu määruse (EL)
2022/123, mis käsitleb Euroopa Ravimiameti suuremat rolli ravimite ja meditsiiniseadmete
alases kriisivalmiduses ja -ohjes (edaspidi määrus 2022/123), artikli 22 tähenduses). Määruse
2022/123 artikli 22 lõike 1 kohaselt, kohe pärast rahvatervise hädaolukorra olemasolu
tunnistamist konsulteerib meditsiiniseadmete nappuse juhtrühm sama määruse artikli 21 lõikes 5
osutatud juhtrühmaga; kohe pärast kõnealust konsulteerimist võtab meditsiiniseadmete nappuse
juhtrühm vastu selliste meditsiiniseadmete kategooriate loetelu, mida ta peab rahvatervise
27 Lisainfo: https://abiinfo.rik.ee/emtak/emtak2025.
34 / 151
hädaolukorras esmatähtsaks. Sama määruse artikli 22 lõike 3 kohaselt avaldab Euroopa
Ravimiamet oma veebiportaali spetsiaalsel veebilehel järgmise teabe:
„a) rahvatervise hädaolukorras esmatähtsate seadmete loetelu ja selle ajakohastatud versioonid
ning
b) teave rahvatervise hädaolukorras esmatähtsate seadmete loetellu kantud esmatähtsate
meditsiiniseadmete tegeliku nappuse kohta.“
Euroopa Ravimiametis on sel teemal loodud eraldi töörühm, millega seotud info on leitav siit:
https://www.ema.europa.eu/en/about-us/what-we-do/crisis-preparedness-management/executive-
steering-group-shortages-medical-devices.
Meditsiiniseadme seaduse muutmise ja sellega seonduvalt teiste seaduste muutmise seaduse
(pädevuse andmine Ravimiametile) 448 SE28 seletuskirjas (lk 2) peatükis 2 märgitud:
„Meditsiiniseadmed on väga varieeruv ja suur rühm tooteid, mille kasutamine on igapäevane
tervishoiuteenuse osutamisega tegelevates asutustes, kuid ka väga paljudes kodudes.
Meditsiiniseadmed on näiteks plaastrid, termomeetrid ja kiirtestid, aga ka keerukad süsteemid,
mida kasutatakse tervishoiuasutustes. Samuti on meditsiiniseadmetena määratletavad mõned
tarkvarad, mida kasutatakse tervishoius ja meditsiinilistest toimingutes. Hinnanguliselt on
meditsiiniseadmete andmekogu alusel Eestis ligikaudu 200 meditsiiniseadmete tootjat ja
ligikaudu 650 levitajat. See arv on tegelikkuses suurem, kuna levitamisest teavitamise kohustus ei
laiene kõige madalama riskitasemega seadmetele, samuti ei täida kahjuks kõik ettevõtjad oma
seadusest tulenevalt levitamisest teavitamise kohustust ja Eestis on väike hulk ettevõtjaid, kes
tegutsevad volitatud esindaja või importijana.“
Esialgsel hinnangul kommenteeritava punkti sõnastusele vastavaid üksusi pole, kuid siin eelnõu
koostajatena ootame tagasisidet, kas see vastab tõele. Eriti, kui arvestada eelnevalt viidatud
seletuskirjas olevat ülevaadet Eestis olevate meditsiiniseadme tootjate ja levitajate kohta.
KüTS § 1 lg 12 punkt 32 on NIS2 direktiivi I lisas märgitud 6-esimene viide (Euroopa
Parlamendi ja nõukogu direktiivi (EL) 2020/2184, olmevee kvaliteedi kohta (edaspidi direktiiv
2020/2184), artikli 2 punkti 1 alapunktis a määratletud olmeveega varustajad ja olmevee
jaotajad, välja arvatud jaotajad, kelle puhul olmevee jaotamine on väheoluline osa nende
üldisest muude tarbekaupade ja kaupade tarnimistegevusest). Direktiivi 2020/2184 artikli 2
punkti 1 alapunktis a on defineeritud olmevesi kui:
„a) vesi, algkujul või pärast töötlemist, mis on mõeldud joomiseks, keetmiseks,
toiduvalmistamiseks ja muudeks olmeotstarveteks nii avalikes kui eravaldustes, olenemata vee
päritolust ning sellest, kas veevarustus toimub jaotusvõrgu kaudu, vett antakse tsisternist või on
vesi villitud pudelitesse või mahutitesse; hõlmatud on ka allikavesi;
28 https://www.riigikogu.ee/tegevus/eelnoud/eelnou/7bc329c3-f351-44bb-aed6-30c8dadc5759/meditsiiniseadme-
seaduse-muutmise-ja-sellega-seonduvalt-teiste-seaduste-muutmise-seadus-padevuse-andmine-ravimiametile/.
35 / 151
b) vesi, mida toidukäitlemisettevõtja kasutab toiduks mõeldud toodete või ainete tootmiseks,
töötlemiseks, säilitamiseks või turustamiseks“.
Joogiveeseaduse §-s 17 on joogivesi defineeritud kui:
„(1) Joogivesi [joogiveeseaduse] tähenduses on algkujul või töödeldud vesi, sealhulgas
allikavesi, mis on mõeldud joomiseks, keetmiseks, toiduvalmistamiseks või muuks olmeotstarbeks
kõigis omandivormides, olenemata vee päritolust ning sellest, kas see toimetatakse tarbijani
jaotusvõrgu kaudu, paagiga, pudelis või mahutis.
(2) Joogiveeks nimetatakse ka vett, mida toidukäitleja Euroopa Parlamendi ja nõukogu määruse
(EÜ) nr 178/2002, millega sätestatakse toidualaste õigusnormide üldised põhimõtted ja nõuded,
asutatakse Euroopa Toiduohutusamet ja kehtestatakse toidu ohutusega seotud menetlused (EÜT
L 31, 01.02.2002, lk 1–24), artikli 3 punkti 3 tähenduses kasutab inimesele tarbimiseks mõeldud
toodete või ainete tootmiseks, töötlemiseks, säilitamiseks või turustamiseks.“
Joogiveeseaduse § 17 lõikes 2 oleva viite definitsioon on sama, mis on direktiivi 2020/2184
artikli 2 punkti 1 alapunktis a, kuid kuna NIS2 direktiiv hõlmab ainult seda alapunkti a, siis tuleb
kommenteeritavas punktis teha täpsustus, et tegemist on joogiveega joogiveeseaduse § 17 lõike 1
tähenduses.
NIS2 direktiiv ei anna selgust, mida tuleks pidada „väheolulise osana“, mistõttu selle lauseosa
puhul ei ole võimalik anda täiendavat selgitust. Eelnõu koostajatena ootame tagasisidet, kuidas
seda lauseosa tõlgendada või sisustada.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 60 ja need lähevad
ka suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 33 on NIS2 direktiivi I lisas märgitud 7-esimene viide (ettevõtjad, kes
tegelevad nõukogu direktiivi 91/271/EMÜ, asulareovee puhastamise kohta (edaspidi direktiiv
91/271/EMÜ), artikli 2 punktides 1, 2 ja 3 määratletud asulareovee, olmereovee või
tööstusreovee kogumise, ärajuhtimise või puhastamisega, välja arvatud ettevõtjad, kelle puhul
asulareovee, olmereovee või tööstusreovee kogumine, ärajuhtimine või puhastamine on
väheoluline osa nende üldisest tegevusest). Direktiivi 91/271/EMÜ artikli 2 punktides 1, 2 ja 3 on
asulareovesi, olmereovesi ja tööstusreovesi defineeritud kui:
„1. asulareovesi — olmereovesi või olme- ja tööstusreovee ja/või mahasadanud vihmavee segu;
2. olmereovesi — asulate ja nendega seotud rajatiste reovesi, mis pärineb peamiselt inimeste
ainevahetusest ja majapidamistegevusest;
3. tööstusreovesi — igasugune reovesi, mis väljub mis tahes kaubandusliku või tööstusliku
tegevuse sooritamiseks kasutatavast hoonest ja mis ei ole ei olmereovesi ega mahasadanud
vihmavesi“.
Reovee ärajuhtimist ühiskanalisatsiooni kaudu ja selle puhastamist reguleerib ühisveevärgi ja -
kanalisatsiooni seadus, kuid selles ei ole eraldi defineeritud asulareovett, olmereovett ega
36 / 151
tööstusreovett. Seetõttu on kommenteeritavas punktis viide direktiivile 91/271/EMÜ vastavatele
sätetele.
NIS2 direktiiv ei anna selgust, mida tuleks pidada „väheolulise osana“, mistõttu selle lauseosa
puhul ei ole võimalik anda täiendavat selgitust. Eelnõu koostajatena ootame tagasisidet, kuidas
seda lauseosa tõlgendada või sisustada.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 60 ja need lähevad
ka suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 34 on NIS2 direktiivi I lisas märgitud 8-esimene viide (interneti
vahetuspunkti teenuse osutajad). Interneti vahetuspunkti sisu on defineeritud NIS2 direktiivi
artikli 6 punktis 18, mis võetakse üle KüTS § 2 punktiga 41. Esialgsel hinnangul on
kommenteeritava punkti sõnastusele vastavaid üksusi 2 ja need lähevad ka suuruse kriteeriumi
alla.
KüTS § 1 lg 12 punkt 35 on NIS2 direktiivi I lisas märgitud 8-teine viide
(domeeninimesüsteemide süsteemi teenuse osutajad, välja arvatud juurnimeserverite
operaatorid). Domeeninimede süsteemi teenuse osutaja sisu on defineeritud NIS2 direktiivi
artikli 6 punktis 19, mis võetakse üle KüTS § 2 punktiga 43. Selle mõistega on seotud ka NIS2
direktiivi artikli 6 punktis 19 sätestatud domeeninimede süsteemi mõiste, mis võetakse üle KüTS
§ 2 punktiga 42, samuti NIS2 direktiivi põhjenduspunkt 32. NIS2 direktiiv ei selgita, mida
mõeldakse juurnimeserveri (ingl k root name server) all, kuid Tartu Ülikooli matemaatika-
informaatikateaduskonna arvutiteaduse instituudi 2010. a välja antud raamatu „Sissejuhatus
võrgutehnoloogiasse“ lk-l 80 on märgitud, et nimeserverid jaotatakse oma funktsiooni poolest
mitmesse erinevasse tüüpi ning juurnimeserveri kohta on mainitud järgnevat: „Need on
nimeruumi juurikas asuvad teistest nimeserveritest natuke erinevad nimeserverid, mis on DNS
selgrooks. Nemad annavad viite vastavat domeeninime haldavale nimeserverile“.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 600 ja need lähevad
ka suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 36 on NIS2 direktiivi I lisas märgitud 8-neljas viide
(pilvandmetöötlusteenuse osutajad). Pilvandmetöötlusteenuse sisu on defineeritud NIS2 direktiivi
artikli 6 punktis 30, mis võetakse üle KüTS § 2 punktiga 7. Kommenteeritava punktiga on seotud
ka NIS2 direktiivi põhjenduspunkt 33. Esialgsel hinnangul on kommenteeritava punkti
sõnastusele vastavaid üksusi 10 ja need lähevad ka suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 37 on NIS2 direktiivi I lisas märgitud 8-viies viide (andmekeskusteenuse
osutajad). Andmekeskusteenuse sisu on defineeritud NIS2 direktiivi artikli 6 punktis 31, mis
võetakse üle KüTS § 2 punktiga 71. Esialgsel hinnangul on kommenteeritava punkti sõnastusele
vastavaid üksusi 20 ja nendest 10 lähevad ka suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 38 on NIS2 direktiivi I lisas märgitud 8-kuues viide (sisulevivõrguteenuse
osutajad). Sisulevivõrgu sisu on defineeritud NIS2 direktiivi artikli 6 punktis 32, mis võetakse
37 / 151
üle KüTS § 2 punktiga 72. Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid
üksusi 5 ja nendest 3 lähevad ka suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 39 on NIS2 direktiivi I lisas märgitud 9-esimene viide (hallatud teenuse
osutajad). Hallatud teenuse osutaja sisu on defineeritud NIS2 direktiivi artikli 6 punktis 39, mis
võetakse üle KüTS § 2 punktiga 11. Esialgsel hinnangul on kommenteeritava punkti sõnastusele
vastavaid üksusi 20 ja nendest 10 lähevad ka suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 40 on NIS2 direktiivi I lisas märgitud 9-teine viide (turbetarnijad).
Eelnõus on siin kasutatud turbetarnija asemel sõnastust „hallatud turbeteenuste osutaja“, kuna
eelnõuga pakutav sõnastus on tõlke mõttes selgem mõiste kui turbetarnija. Turbetarnija mõiste
sisu on defineeritud NIS2 direktiivi artikli 6 punktis 40, mis võetakse üle KüTS § 2 punktiga 12.
Eelnõu koostamisel on olnud arutelu Euroopa Liidu jurist-lingvistidega, et NIS2 direktiivi
vastava mõiste sõnastust parandada ehk asendada sõna „turbetarnija“ sõnadega „hallatud teenuste
osutaja“. Vastav sõnastus on sama, mis on kübersolidaarsuse määruse eelnõu tekstis29 olev
sõnastus ehk „hallatud turbeteenuste osutaja“, mis omakorda viitab selle defineerimisel ka
eelmainitud NIS2 direktiivi sättele. Esialgsel hinnangul on kommenteeritava punkti sõnastusele
vastavaid üksusi 10 ja nendest 5 lähevad ka suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 41 on NIS2 direktiivi I lisas märgitud 11-esimene viide (liikmesriigi või
eraõiguslike isikute omandis olevate, hallatavate või käitatavate maapealsete taristute
operaatorid, kes toetavad kosmosepõhiste teenuste osutamist, välja arvatud elektroonilise side
võrkude pakkujad). Kommenteeritava punktiga on seotud ka NIS2 direktiivi põhjenduspunkt 37.
NIS2 direktiiv ei anna rohkem selgitusi, milliste üksustega on selle puhul tegemist. Eelnõu
koostajatena ootame tagasisidet, et kuidas seda subjekti tõlgendada või sisustada.
Esialgsel hinnangul kommenteeritava punkti sõnastusele vastavaid üksusi pole, kuid eelnõu
koostajatena ootame tagasisidet, kas see vastab tõele.
KüTS § 1 lg 12 punkt 42 on NIS2 direktiivi II lisas märgitud 1-esimene viide (Euroopa
Parlamendi ja nõukogu direktiivi 97/67/EÜ, ühenduse postiteenuste siseturu arengut ja teenuse
kvaliteedi parandamist käsitlevate ühiseeskirjade kohta (edaspidi direktiiv 97/67/EÜ), artikli 2
punktis 1a määratletud postiteenuste osutajad, sealhulgas kulleriteenuste osutajad). Direktiivi
97/67/EÜ artikli 2 punktis 1a on postiteenuse osutaja defineeritud kui „ettevõtja, kes osutab ühte
või mitut postiteenust“. Teemaga on seotud ka sama direktiivi artikli 2 punktis 1 sätestatud
postiteenused, milleks on „teenused, mis hõlmavad postisaadetise kogumist, sorteerimist,
transporti ja jaotamist“.
Postiseaduse § 2 lõike 1 kohaselt on postiteenuse sisuks „adresseeritud postisaadetise
edastamine majandustegevusena“ ning lõike 2 kohaselt on edastamine „protsess, mis hõlmab
postisaadetise kogumist, sorteerimist, vedu ja saajale kättetoimetamist“. Postiseaduse § 4 lg 1
sätestab postisaadetise sisu (sh sama paragrahvi lõiked 2–4 selgitavad seda) ning sama paragrahvi
29 Kättesaadav: https://www.europarl.europa.eu/doceo/document/TA-9-2024-0355_ET.html.
38 / 151
lõige 5 sisustab postiteenuse sisu (sh sama paragrahvi lõiked 6–11 selgitavad seda). Postiseaduse
§ 22 lõike 1 kohaselt on postiteenuse osutaja „ettevõtja, kes osutab ühte või või mitut
postiteenust“ ning et „ainult postisaadetiste vedu ei ole postiteenuse osutamine“.
NIS2 direktiiv hõlmab subjektiks ka „kullerteenuste osutajad“, kuid ei täpsusta, mida nende all
mõeldakse. Direktiivis 97/67/EÜ on kullerposti teemal põhjenduspunktides 17 ja 18 märgitud:
„(17) vähemalt 350 grammi kaaluvad kirjasaadetised moodustavad alla 2 % kirjadest ja alla 3 %
avalik-õiguslike ettevõtjate laekumistest; hinna määramise põhimõtted (viiekordne põhihind)
võimaldavad paremini vahet teha reserveeritud teenuse ja liberaliseeritud kullerposti teenuse
vahel;
(18) silmas pidades asjaolu, et põhiline erinevus kullerposti ja universaalse postiteenuse vahel
seisneb kullerposti teenustega kaasnevas ja klientidele tajutavas lisandväärtuses (olenemata selle
vormist), saab tajutava lisaväärtuse kõige tõhusamalt kindlaks määrata nii, et võetakse arvesse
lisahinda, mida kliendid on valmis maksma; see ei piira reserveeritud valdkonnas järgitava
hinnapiirangu kohaldamist“.
Direktiivi 97/67/EÜ selgituse puhul tuleb arvestada ka asjaoluga, et tegemist on 1997. aastast
pärit direktiiviga, mida viimati uuendati 2015. aastal. Postiseaduses on kullerite temaatika osas
sätestatud kullerpostisaadetise edastamist (vt postiseaduse § 4 lg 5 punkti 4 ja lg 9), kuid ei ole
üheselt selge, kas see on sama, mis on NIS2 direktiivi mõttes kullerteenuse osutamine. Kui see on
sama, siis see on juba hõlmatud postiteenuse osutajaga. Samas on NIS2 direktiivi
põhjenduspunktis 12 postiteenuse osutajate, sh kullerpostiteenuse osutajate osas märgitud
järgmist:
„(12) [Direktiivis 97/67/EÜ] määratletud postiteenuse osutajate, sealhulgas kullerpostiteenuse
osutajate suhtes tuleks kohaldada [NIS2 direktiivi] juhul, kui nad osutavad vähemalt ühe
postiteenuseahela etapi teenust, eeskätt kogumis-, sorteerimis- või jaotamisteenust, sealhulgas
järeletulemise teenused, võttes arvesse nende võrgu- ja infosüsteemidest sõltuvuse määra.
Transporditeenust, mida ei osutata ühegi nimetatud etapi raames, ei peaks käsitama
postiteenusena.“
Eelnõu koostajatena ootame tagasisidet, et kuidas eelmainitud lauseosa („kullerteenuse osutajad“)
tõlgendada või sisustada.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 20 ja nendest 10
lähevad ka suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 43 on NIS2 direktiivi II lisas märgitud 2-esimene viide (ettevõtjad, kes
tegelevad Euroopa Parlamendi ja nõukogu direktiivi 2008/98/EÜ, mis käsitleb jäätmeid ja
millega tunnistatakse kehtetuks teatud direktiivid (edaspidi direktiiv 2008/98/EÜ), artikli 3
punktis 9 määratletud jäätmekäitlusega, välja arvatud ettevõtjad, kelle põhitegevus ei ole
jäätmekäitlus). Direktiivi 2008/98/EÜ artikli 3 punktis 9 on jäätmekäitluseks „jäätmete
kogumine, vedu, taaskasutamine (sealhulgas sortimine) ja kõrvaldamine, sealhulgas nende
39 / 151
toimingute järelevalve ning jäätmekõrvaldamiskohtade järelhooldus, sealhulgas vahendaja ja
edasimüüja tegevus“. Selles definitsioonis on ka mõningaid mõisteid, mida avavad sama artikli
punktid 1, 7, 8, 14, 15 ja 19:
„1) „jäätmed” – mis tahes ained või esemed, mille valdaja ära viskab, kavatseb ära visata või on
kohustatud ära viskama;
7) „edasimüüja” – iga ettevõtja, kes tegutseb printsipiaalina jäätmeid ostes ja seejärel müües,
kaasa arvatud need edasimüüjad, kes jäätmeid füüsiliselt ei valda;
8) „vahendaja” – iga ettevõtja, kes korraldab teiste nimel jäätmete taaskasutamist või
kõrvaldamist, kaasa arvatud need vahendajad, kes jäätmeid füüsiliselt ei valda;
14) „töötlemine” – taaskasutamis- või kõrvaldamistoimingud, kaasaarvatud taaskasutamise või
kõrvaldamise eelne ettevalmistus;
15) „taaskasutamine” – mis tahes toimingud, mille peamiseks tulemuseks on jäätmete
kasutamine kasulikul otstarbel selliselt, et nad asendavad teisi materjale, mida muidu oleks
kasutatud teatava funktsiooni täitmiseks, või jäätmete ettevalmistamine selle funktsiooni
täitmiseks kas tootmises või majanduses laiemalt. [Direktiivi 2008/98/EÜ] II lisas esitatakse
taaskasutamistoimingute mitteammendav loetelu;
19) „kõrvaldamine” – mis tahes toiming, mis ei ole taaskasutamine, isegi kui toimingul on
teisene tagajärg ainete või energia taasväärtustamise näol. [Direktiivi 2008/98/EÜ] I lisas
esitatakse kõrvaldamistoimingute mitteammendav loetelu“.
Jäätmeseaduse § 13 defineerib jäätmekäitluse kui „jäätmete kogumine, vedamine,
taaskasutamine, sealhulgas sortimine, ja kõrvaldamine, sealhulgas vahendamine või
edasimüümine“. Selle definitsiooni tegevustega seotult on asjakohased sama seaduse § 14
(reguleerib jäätmete kogumist, liigiti kogumist ja vedamist), § 15 (reguleerib jäätmete
taaskasutamist ja taaskasutamismooduseid), § 16 (reguleerib jäätmete töötlemist), § 17
(reguleerib jäätmete kõrvaldamist) ning kaudselt ka § 987 lg 2 punktid 4 ja 5 (reguleerib
Keskkonnaametis registreerimist, kui isik: korraldab vahendajana jäätmete kõrvaldamist või
taaskasutamist teiste nimel; või tegutseb jäätmete edasimüüjana).
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 50 ja nendest 20
lähevad ka suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 44 on NIS2 direktiivi II lisas märgitud 3-esimene viide (ettevõtjad, kes
tegelevad Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 1907/2006, mis käsitleb
kemikaalide registreerimist, hindamist, autoriseerimist ja piiramist (REACH) ja millega
asutatakse Euroopa Kemikaalide Agentuur ning muudetakse direktiivi 1999/45/EÜ ja
tunnistatakse kehtetuks nõukogu määrus (EMÜ) nr 793/93, komisjoni määrus (EÜ) nr 1488/94
ning samuti nõukogu direktiiv 76/769/EMÜ ja komisjoni direktiivid 91/155/EMÜ, 93/67/EMÜ,
93/105/EÜ ja 2000/21/EÜ (edaspidi määrus 1907/2006), artikli 3 punktides 9 ja 14 osutatud
ainete valmistamisega ning ainete või segude levitamisega, ning ettevõtjad, kes toodavad ainetest
40 / 151
või segudest kõnealuse määruse artikli 3 punktis 3 määratletud tooteid). Määruse 1907/2006
artikli 3 punktides 3, 9 ja 14 on defineeritud järgmised mõisted, sh on teemaga seotud ka
punktides 1 ning 12 olevad mõisted:
„1. aine — looduslik või tootmismenetluse teel saadud keemiline element või selle ühendid koos
püsivuse säilitamiseks vajalike ja tootmismenetlusest johtuvate lisanditega, välja arvatud
lahustid, mida on võimalik ainest eraldada, mõjutamata aine püsivust või muutmata selle
koostist;
3. toode — ese, millele antakse tootmise käigus teatud kuju, pinnaviimistlus või kujundus, mis
määrab tema funktsiooni suuremal määral kui tema keemiline koostis;
9. tootja — ühenduses asutatud füüsiline või juriidiline isik, kes toodab ainet ühenduse piires;
12. turuleviimine — kolmandatele isikutele tasu eest või tasuta tarnimine või kättesaadavaks
tegemine. Importi käsitatakse turuleviimisena;
14. levitaja — ühenduses asutatud füüsiline või juriidiline isik, kaasa arvatud jaemüüja, kes
üksnes ladustab ainet ja viib aine turule ainena või segu koostisainena kolmandate isikute
jaoks“.
NIS2 direktiiv ei täpsusta, et mis laadi ainete või toodetega on tegemist ehk tegemist on kõiksugu
kemikaalsete ainetega, hoolimata sellest, kas siin on tegemist potentsiaalselt tööstuslike
kemikaalide või igapäevakasutuses olevate kemikaalidega. Samas võib eeldada, et siin on ainete
valmistamise ning ainete või segude levitamise puhul mõeldud neid üksusi, kes peavad end
määruse 1907/2006 kohaselt registreerima.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 10 ja nendest 5
lähevad ka suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 45 on NIS2 direktiivi II lisas märgitud 4-esimene viide (Euroopa
Parlamendi ja nõukogu määruse (EÜ) nr 178/2002, millega sätestatakse toidualaste
õigusnormide üldised põhimõtted ja nõuded, asutatakse Euroopa Toiduohutusamet ja
kehtestatakse toidu ohutusega seotud menetlused (edaspidi määrus 178/2002), artikli 3 punktis 2
määratletud toidukäitlemisettevõtjad, kes tegelevad hulgimüügi ning tööstusliku tootmise ja
töötlemisega).
Määruse 178/2002 artikli 3 punktis 2 on toidukäitlemisettevõtjaks „avalik või eraõiguslik
kasumit taotlev või kasumitaotluseta juriidiline isik, kes on seotud toidu ükskõik millisel tootmis-,
töötlemis- või turustusetapil toimuva mis tahes tegevusega“. Tolle mõiste definitsiooni kohaselt
on tegemist ükskõik millise toidu tootmis- töötlemis- või turustusetapil toimuva mis tahes
tegevusega, kuid NIS2 direktiiv näeb ette, et NIS2 direktiivi alla hõlmatakse ainult hulgimüük,
tööstuslik tootmine ja töötlemine. Sellest on ka lähtutud kommenteeritava punkti sõnastamisel.
Eelduslikult kommenteeritava punkti alla ei hõlmata näiteks jaemüüki – see mõiste on sama
määruse artikli 3 punkti 7 kohaselt „toidu käitlemine ja/või töötlemine ning toidu hoiustamine
müügikohas või tarnimine lõpptarbijale, kaasa arvatud jaotusterminalid, toitlustusettevõtjad,
41 / 151
tehasesööklad, asutuste toitlustusettevõtjad, restoranid ja muud samalaadsed toiduteenust
pakkuvad ettevõtjad, kauplused, selvehallide jaotuskeskused ja hulgimüügipunktid“. Selles
definitsioonis on mainitud ka hulgimüügipunkte, kuid see asjaolu ei oma siin tähendust, kuna
definitsiooni mõte tundub olevat, et see toit on mõeldud müümiseks lõpptarbijale, kes on sama
määruse artikli 3 punkti 18 kohaselt „toidu tarbija, kes ei kasuta kõnealust toitu
toidukäitlemistoimingus või sellega seotud tegevuses“.
Kui hulgimüügi osas tuua paralleeli Eesti õigusaktidest, siis hulgimüük tundub olevat müük
isikule, kes ei ole tarbija tarbijakaitseseaduse tähenduses. Vt siin alkoholiseaduse § 3 lg 1 punkti
4: „Alkoholi käitlemiseks loetakse selle toidugrupi suhtes teostatavad järgmised toimingud:
müügiks pakkumine või müük ühelt ettevõtjalt teisele ettevõtjale või muule isikule, kes ei ole
tarbija tarbijakaitseseaduse tähenduses (edaspidi hulgimüük)“. Sama lõike punkti 5 kohaselt on
jaemüügiks „müügiks pakkumine, müük või mis tahes võlaõigusliku lepingu sõlmimine või mis
tahes õiguslikul alusel majandustegevuse raames kättesaadavaks tegemine või üleandmine
tarbijale tarbijakaitseseaduse tähenduses (edaspidi jaemüük)“.
Eelnõu koostajatena ootame tagasisidet, et kuidas seda lauseosa tõlgendada või sisustada.
Tööstusliku tootmise ja töötlemisega on soov hõlmata ainult suuremamahulisemaid toidu
tootmist ja töötlemist – seda tehakse siis seeläbi, et kommenteeritavas punktis sätestatud üksus
peab vastama ka töötajate arvu ja aasta bilansimahu või aastakäibe suurustele (vt eelnõu KüTS §
1 lõiget 11 ja selle selgitusi).
Kommenteeritava punktiga on seotud ka määruse 178/2002 artikli 3 punktis 16 defineeritud
tootmis- töötlemis- ja turustamisetappide mõiste: „kõik etapid, kaasa arvatud import, alates toidu
esmatootmisest kuni selle hoiustamise, transpordi, müügi või lõpptarbijale tarnimiseni, ning
vajaduse korral sööda importimine, tootmine, valmistamine, hoiustamine, transport, turustamine,
müük ja tarnimine“.
Kommenteeritavas punktis mainitud tegevused (hulgimüük, tööstuslik tootmine ja töötlemine) on
alternatiivid.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 50 ja nendest 10
lähevad ka suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 46 on NIS2 direktiivi II lisas märgitud 5-a-esimene viide (Euroopa
Parlamendi ja nõukogu määruse (EL) 2017/745, milles käsitletakse meditsiiniseadmeid, millega
muudetakse direktiivi 2001/83/EÜ, määrust (EÜ) nr 178/2002 ja määrust (EÜ) nr 1223/2009
ning millega tunnistatakse kehtetuks nõukogu direktiivid 90/385/EMÜ ja 93/42/EMÜ (edaspidi
määrus 2017/745), artikli 2 punktis 1 määratletud meditsiiniseadmeid tootvad üksused ning
Euroopa Parlamendi ja nõukogu määruse (EL) 2017/746, in vitro diagnostikameditsiiniseadmete
kohta ning millega tunnistatakse kehtetuks direktiiv 98/79/EÜ ja komisjoni otsus 2010/227/EL
(edaspidi määrus 2017/746), artikli 2 punktis 2 määratletud in vitro
diagnostikameditsiiniseadmeid tootvad üksused, välja arvatud [NIS2 direktiivi] I lisa punkti 5
viiendas taandes osutatud meditsiiniseadmeid tootvad üksused).
42 / 151
Määruse 2017/745 artikli 2 punktis 1 on meditsiiniseadeks „mis tahes instrument, aparaat,
rakendus, tarkvara, implantaat, reagent, materjal või muu ese, mida võib kasutada eraldi või
teistega kombineerituna, mille tootja on ette näinud inimeste puhul kasutamiseks ühel või mitmel
järgmisel meditsiinilisel eesmärgil:
— haiguste diagnoosimiseks, ennetamiseks, seireks, prognoosimiseks, raviks või leevendamiseks;
— vigastuse või puude diagnoosimiseks, jälgimiseks, ravimiseks, leevendamiseks või
kompenseerimiseks;
— kehaosa või füsioloogilise või patoloogilise protsessi või seisundi uurimiseks, asendamiseks
või muutmiseks;
— inimkehast saadud proovide, sealhulgas loovutatud organite, vere ja kudede in vitro
uurimiseks informatsiooni saamise eesmärgil;
ja mille kavandatud põhitoime inimkehas või -kehale ei ole farmakoloogiline, immunoloogiline
või ainevahetuslik mõju avaldamine, kuid mille toimele võib nimetatud mõju kaasa aidata.
Samuti käsitatakse meditsiiniseadmena järgmisi tooteid:
— seadmed rasestumise ärahoidmiseks või soodustamiseks;
— seadmete puhastamiseks, desinfitseerimiseks või steriliseerimiseks ette nähtud tooted, millele
on osutatud [määruse 2017/745] artikli 1 lõikes 4 ja käesoleva punkti esimeses lõigus“.
Määruse 2017/745 artikli 1 lõike 4 sisu: „[Määruses 2017/745] osutatakse meditsiiniseadmetele,
meditsiiniseadmete abiseadmetele ning [määruse 2017/745] XVI lisas loetletud, mille suhtes
[määrust 2017/745] lõike 2 alusel kohaldatakse, edaspidi kui seadmetele“.
Määruse 2017/746 artikli 2 punktis 2 on in vitro diagnostikameditsiiniseade defineeritud kui:
„meditsiiniseade, mis on reagent, reagentaine, kalibraator, kontrollaine, testkomplekt,
instrument, aparatuur, vahend, tarkvara või süsteem, mida kasutatakse eraldi või teistega
kombineerituna ja mille tootja on ette näinud kasutamiseks inimkehast saadud proovide,
sealhulgas loovutatud vere ja kudede in vitro uurimiseks teabe saamiseks ühe või mitme järgmise
nähtuse kohta:
a) füsioloogiline või patoloogiline protsess või seisund;
b) kaasasündinud füüsiline või vaimne puue;
c) eelsoodumus teatava tervisliku seisundi või haiguse tekkeks;
d) ohutuse ja kokkusobivuse kindlaksmääramiseks võimalikud retsipiendid;
e) ravivastuse või reaktsioonide prognoosimine;
f) ravimeetmete kindlaksmääramine või jälgimine.
In vitro diagnostikameditsiiniseadmetena käsitatakse ka proovianumaid“.
43 / 151
Proovianum on defineeritud sama artikli punktis 3 kui „vakumeeritud või vakumeerimata vahend,
mille tootja on ette näinud spetsiaalselt inimkehast võetud proovide hoidmiseks ja säilitamiseks
in vitro diagnostiliste uuringute eesmärgil“.
Esialgsel hinnangul kommenteeritava punkti sõnastusele vastavaid üksusi pole, kuid eelnõu
koostajatena ootame tagasisidet, kas see vastab tõele.
KüTS § 1 lg 12 punkt 47 on NIS2 direktiivi II lisas märgitud 5-b-esimene viide (ettevõtjad, kes
tegelevad NACE Rev. 2 C jao jaotises 26 osutatud majandustegevusega), 5-c-esimene viide
(ettevõtjad, kes tegelevad NACE Rev. 2 C jao jaotises 27 osutatud majandustegevusega), 5-d-
esimene viide (ettevõtjad, kes tegelevad NACE Rev. 2 C jao jaotises 28 osutatud
majandustegevusega), 5-e-esimene viide (ettevõtjad, kes tegelevad NACE Rev. 2 C jao jaotises
29 osutatud majandustegevusega) ja 5-f-esimene viide (ettevõtjad, kes tegelevad NACE Rev. 2 C
jao jaotises 30 osutatud majandustegevusega).
Arvestades KüTS § 1 lg 12 punktis 30 toodud põhjendusi, on ka siinse kommenteeritava punkti
puhul tehtud viide Eurostati NACE Revision 2. klassifikaatorile. Mõned näited siinse punkti
puhul, ilmestamaks erinevusi EMTAK 2008 klassifikaatori ja NACE Revision 2 klassifikaatori
vahel:
a) NACE REV 2 jagu C jaotis 26: 26.11 (pooljuhid on märgitud NACE-s, kuid EMTAKis seda
pole; EMTAKis on siin all ka „nõelhelipeade tootmine“ ja „päikesepaneelide tootmine elektri
tootmiseks“; EMTAK-is on „kiipkaartide tootmine“, mida pole NACEs); EMTAKis 262 alla
kuulub ka „arvutite komplekteerimine ja montaaž tootja poolt kohapeal“ ning
„sularahaautomaatide/kassaautomaatide/pangaautomaatide tootmine“; EMTAKis 263 alla kuulub
ka „kodukeskjaamaseadmete (PBX) tootmine“ ja „WiFi seadmete tootmine“.
b) NACE REV 2 jagu C jaotis 27: EMTAKis kuulub 27311 alla veel „optiliste kiudude,
kiukimpude tootmine“ ja „fiiberoptilise kaabli tootmine“; EMTAK 27321 sisaldab ka
„koaksiaalkaabli ja koaksiaalsete elektrijuhtmete tootmine“; EMTAK 27511 sisaldab ka
„tervisekapslite jaoks aurugeneraatorite tootmine“; EMTAK 27521 sisaldab ka „päikesepatareide
(paneelide) tootmine sooja vee tootmiseks“ ja „priimuste tootmine“; EMTAK 27901 sisaldab ka
„mitteväärismetallist juhtmekanalite ja tarvikute tootmine“ ja „elektriliste välireklaamikastide
tootmine“.
01.01.2025 hakkab kehtima EMTAK 2025 tegevusalade klassifikaator, mis asendab EMTAK
2008 klassifikaatori ning selle koostamisel on lähtutud NACE Revision 2.1 klassifikaatorist.30
KüTS § 1 lg 12 punktis 30 on selgitatud, miks kommenteeritavas punktis ei ole viidatud EMTAK
2025 tegevusalade klassifikaatorile ega NACE Revision 2.1 klassifikaatorile.
Esialgsel hinnangul kommenteeritava punkti sõnastusele vastavaid üksusi pole, kuid eelnõu
koostajatena ootame tagasisidet, kas see vastab tõele.
30 Lisainfo: https://abiinfo.rik.ee/emtak/emtak2025.
44 / 151
KüTS § 1 lg 12 punkt 48 on NIS2 direktiivi II lisas märgitud 6-esimene viide (internetipõhiste
kauplemiskohtade pakkujad). Internetipõhise kauplemiskoha sisu on defineeritud NIS2 direktiivi
artikli 6 punktis 28, mis võetakse üle KüTS § 2 punkti 5 muudatustega.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 10 ja nendest 5
lähevad ka suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 49 on NIS2 direktiivi II lisas märgitud 6-teine viide (internetipõhiste
otsingumootorite pakkujad). Internetipõhise otsingumootori sisu on defineeritud NIS2 direktiivi
artikli 6 punktis 29, mis võetakse üle KüTS § 2 punkti 6 muudatustega sõnastuses „veebipõhine
otsingumootor“. Põhjus, miks kommenteeritavas punktis kasutatakse sõnastust „veebipõhise“,
mitte „internetipõhise“, on selgitatud KüTS § 2 punkti 6 muudatustes. Esialgsel hinnangul on
kommenteeritava punkti sõnastusele vastavaid üksusi 1 ja see läheb ka suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 50 on NIS2 direktiivi II lisas märgitud 6-kolmas viide
(sotsiaalvõrguteenuse platvormide pakkujad). Sotsiaalvõrguteenuse platvormi sisu on
defineeritud NIS2 direktiivi artikli 6 punktis 33, mis võetakse üle KüTS § 2 punktiga 73.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 10 ja nendest 5
lähevad ka suuruse kriteeriumi alla.
KüTS § 1 lg 12 punkt 51 on NIS2 direktiivi II lisas märgitud 7-esimene viide (teadusasutused).
Teadusasutuse sisu on defineeritud NIS2 direktiivi artikli 6 punktis 41, mis võetakse üle KüTS §
2 punktiga 13. Teadusasutustega on seotud ka NIS2 direktiivi põhjenduspunkt 36. Esialgsel
hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 24 ja nendest 12 lähevad ka
suuruse kriteeriumi alla.
KüTS § 1 lg 13 eesmärgiks on üle võtta ennekõike NIS2 direktiivi artikli 2 lõike 2 sisu. See lõige
hõlmab KüTSi subjekte, kelle puhul puudub vajadus lähtuda sama paragrahvi lõigetes 11 ja 12
olevast seosest ehk siinses lõikes olevate subjektide puhul ei tule välja selgitada töötajate arvu
ning bilansimahu või aastakäibe suurust. Osad siinses lõikes nimetatud subjektid on nimetatud ka
NIS2 direktiivi I lisas (millele viitab ka NIS2 direktiivi artikli 2 lõige 1), kuid kuna NIS2
direktiivi artikli 2 lõige 2 sätestab, et ka nende subjektide puhul on tegemist olukorraga, kus nad
on olenemata töötajate suurusest ja bilansimahust või aastakäibest hõlmatud NIS2 direktiivi alla,
siis samadest põhimõtetest on lähtutud ka käesolevas eelnõus.
Siinsele seletuskirjale on lisatud iga vastava üksuse kategooria juures ka Riigi Infosüsteemi
Ametilt kokku pandud esialgne hinnang, et kui palju üksusi vastava sõnastuse alla võib minna.
Eelnõu koostajatena ootame nende arvude osas tagasisidet, kas esialgsed arvud on õiged või
õiges suurusjärgus.
KüTS § 1 lg 13 punkt 1 on NIS2 direktiivi artikli 2 lõike 2 punkt a alapunkti i) sisu
(üldkasutatavate elektroonilise side võrkude pakkujad või üldkasutatavate elektroonilise side
teenuste osutajad) ja samal ajal ka NIS2 direktiivi I lisas märgitud 8-kaheksas viide
(üldkasutatavale elektroonilise side võrkude pakkujad). Üldkasutatava elektroonilise side võrgu
45 / 151
sisu on defineeritud NIS2 direktiivi artikli 6 punktis 36, mis võetakse üle KüTS § 2 punktiga 9.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 4.
KüTS § 1 lg 13 punkt 2 on NIS2 direktiivi artikli 2 lõike 2 punkt a alapunkti i) sisu
(üldkasutatavate elektroonilise side võrkude pakkujad või üldkasutatavate elektroonilise side
teenuste osutajad) ja samal ajal ka NIS2 lisas I märgitud 8-üheksas viide (üldkasutatavate
elektroonilise side teenuste osutajad). Elektroonilise side teenuse sisu on defineeritud NIS2
direktiivi artikli 6 punktis 37, mis võetakse üle KüTS § 2 punktiga 10. Esialgsel hinnangul on
kommenteeritava punkti sõnastusele vastavaid üksusi 4.
KüTS § 1 lg 13 punkt 3 on NIS2 direktiivi artikli 2 lõike 2 punkt a alapunkti ii) sisu
(usaldusteenuse osutajad) ja samal ajal ka NIS2 lisas I märgitud 8-seitsmes viide (usaldusteenuse
osutajad). Usaldusteenuse osutaja sisu on defineeritud NIS2 direktiivi artikli 6 punktis 25, mis
võetakse üle KüTS § 2 punktiga 46. Usaldusteenuse osutajatega on seotud ka NIS2 direktiivi
põhjenduspunkt 11, sõnastuses:
„(11) Mõned üksused tegutsevad riikliku julgeoleku, avaliku julgeoleku, kaitse või õiguskaitse
valdkonnas, sealhulgas kuritegude ennetamine, uurimine, avastamine ja nende eest vastutusele
võtmine, osutades samal ajal ka usaldusteenuseid. Usaldusteenuse osutajad, kes kuuluvad
Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014 kohaldamisalasse, peaksid kuuluma
[NIS2 direktiivi] kohaldamisalasse, et tagada turvanõuded ja järelevalve samal tasemel, mis oli
juba eelnevalt nimetatud määruses sätestatud seoses usaldusteenuse osutajatega. Nii nagu
määrust (EL) nr 910/2014 ei kohaldata teatavate konkreetsete teenuste suhtes, ei tuleks ka [NIS2
direktiivi] kohaldada selliste usaldusteenuste osutamise suhtes, mida kasutatakse eranditult
suletud süsteemides, mis tulenevad liikmesriigi õigusest või kindlaksmääratud osalejate
vahelistest kokkulepetest.“
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 28.
KüTS § 1 lg 13 punkt 4 on NIS2 direktiivi artikli 2 lõike 2 punkt a alapunkti iii) sisu
(tippdomeeninimede registrid ja domeeninimede süsteemi teenuse osutajad) ja samal ajal ka NIS2
lisas I märgitud 8-kolmas viide (tippdomeeninimede registrite pidajad). Siin on ka seotud NIS2
direktiivi põhjenduspunkt 32. Tegemist on kehtiva õiguse säilitamisega ehk kehtiva KüTS § 3 lg
1 punkti 8 (Eesti maatunnusega seotud tipptaseme domeeninimede registri haldaja) säilitamisega
teises sõnastuses. Tippdomeeninimede registri sisu on defineeritud NIS2 direktiivi artikli 6
punktis 21, mis võetakse üle KüTS § 2 punktiga 44. Kommenteeritava punkti puhul ei ole
võimalik lisada kehtivas KüTSi asjakohases punktis olevat lauseosa „registri pidamiseks
kasutatava süsteemi ja tipptaseme nimeserveri teenuse osutamisel“, kuna NIS2 direktiiv näeb
ette, et sellised üksused tulevad tervikuna KüTSi subjektiks.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 1.
KüTS § 1 lg 13 punkt 5 on NIS2 direktiivi artikli 2 lõike 4 ([NIS2 direktiivi] kohaldatakse
domeeninimede registreerimise teenuseid osutavate üksuste suhtes olenemata nende suurusest)
üle võtmine. Domeeninimede registreerimise teenuseid osutava üksuse sisu on defineeritud NIS2
46 / 151
direktiivi artikli 6 punktis 22, mis võetakse üle KüTS § 2 punktiga 45. Nende üksuste puhul tuleb
arvestada asjaoluga, et NIS2 direktiiv ja seeläbi ka KüTS ei kohaldu neile täies mahus – vt siin
täpsemalt KüTS § 2 punkti 45 selgitust. Esialgsel hinnangul on kommenteeritava punkti
sõnastusele vastavaid üksusi 10.
KüTS § 1 lg 13 punkt 6 on NIS2 direktiivi artikli 2 lõike 2 punkt a alapunkti iii) sisu
(tippdomeeninimede registrid ja domeeninimede süsteemi teenuse osutajad) ehk konkreetsemalt
selle teine lauseosa (domeeninimede süsteemi teenuse osutajad). Domeeninimede süsteemi sisu
on defineeritud NIS2 direktiivi artikli 6 punktis 19, mis võetakse üle KüTS § 2 punktiga 42.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 600.
KüTS § 1 lg 13 punkt 7 on NIS2 direktiivi artikli 2 lõike 2 punkt a alapunkti i) sisu (üksus on:
keskvalitsuse avaliku halduse üksus, nagu see on kindlaks määratud liikmesriigi poolt kooskõlas
tema õigusega). „Keskvalitsuse avaliku halduse üksuse“ sisu on defineeritud KüTS § 2 punktis
12, kuid seos on ka avaliku halduse üksuse mõistega, mis on defineeritud NIS2 direktiivi artikli 6
punktis 35 (mida eraldiseisvalt eelnõuga üle ei võta). Kommenteeritava punkti puhul on tegemist
ka kehtiva õiguse säilitamisega, kuna see mõiste hõlmab kehtiva KüTS § 3 lg 4 punktides 3, 5, 6,
7, 8, 11, 12 ja 14 ning lisanduvalt nimetatakse siin ka Finantsinspektsioon, kelle puhul ei ole
otseselt niivõrd selge, kas hetkel tema suhtes kehtib KüTS, mistõttu sarnaselt teiste üksustega on
ta eraldi nimetatud siinse eelnõuga.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 170.
KüTS § 1 lg 13 punkt 8 on NIS2 direktiivi artikli 2 lõike 3 ([NIS2 direktiivi ]kohaldatakse [CER
direktiivi] kohaselt elutähtsa teenuse osutajatena käsitatavate üksuste suhtes olenemata nende
suurusest) üle võtmine. Tegemist on ka kehtiva õiguse säilitamisega, kuna elutähtsa teenuse
osutajad on KüTSi alla hõlmatud KüTS kehtiva versiooni § 3 lg 1 p 1 alusel. Hetkel määratleb
elutähtsa teenuse osutaja olemuse hädaolukorra seadus, kuid kavandatava tsiviilkriisi ja
riigikaitse seaduse jõustumise järel on sellega seotud temaatika reguleeritud nimetatud seaduses.
Seetõttu ei ole erinevalt kehtiva KüTS § 3 lg 1 punktist 1 kommenteeritavas punktis viidatud
õigusaktile, mis reguleerib elutähtsa teenuse osutaja tegevust. Hädaolukorra seaduse alusel
tuvastatud elutähtsa teenuse osutaja ei pea olema NIS2 direktiivi I või II lisas nimetatud sektoris
selleks, et ta oleks kommenteeritava punkti alusel hõlmatud KüTSi nõuete alla.
Tulevaste elutähtsa teenuste osutajate lisandumist on selgitatud CER direktiivi üle võtvas eelnõus
nimega hädaolukorra seaduse muutmise ja sellega seonduvalt teiste seaduste muutmise seaduses
426 SE. Tsiviilkriisi ja riigikaitse seadusega toimuvad muudatused on leitavad eelnõude
infosüsteemi toimikust nr 21-0915.
Esialgsel hinnangul on kommenteeritava punkti sõnastusele vastavaid üksusi 483.
KüTS § 1 lg 14 eesmärk on üle võtta NIS2 direktiivi artikli 2 lõike 2 punktid b–e. Nimetatud
NIS2 direktiivi punktid ei täpsusta rohkemalt, et milliseid subjekte on siin mõeldud, vaid siin on
igal liikmesriigil võimalus määratleda NIS2 direktiivi üle võtvas õigusaktis täiendavaid üksusi,
kes vastavad kommenteeritavas lõikes olevatele kriteeriumitele ning kes tuleb hõlmata
47 / 151
siseriikliku seaduse subjektiks. Kommenteeritava lõikega on ka sama paragrahvi kaks järgmist
lõiget.
Tolle lõikega seonduvalt luuakse eelnõuga KüTS § 1 lg 15, mis aitab täpsemalt sisustada ja
määratleda need subjektid, kes peavad sama paragrahvi lõikes 14 sätestatud kriteeriumeid
arvestades lähtuma KüTSi nõuetest.
Siinsele seletuskirjale on lisatud iga vastava üksuse kategooria juures ka Riigi Infosüsteemi
Ametilt kokku pandud esialgne hinnang, et kui palju üksusi vastava sõnastuse alla võib minna.
Eelnõu koostajatena ootame tagasisidet nende arvude osas, kas esialgsed arvud on õiged või
õiges suurusjärgus.
KüTS § 1 lg 15 punkt 1 eesmärk on üle võtta NIS2 direktiivi artikli 5 punkt a (liikmesriigid
võivad ette näha, et [NIS2 direktiivi] kohaldatakse: kohaliku tasandi avaliku halduse üksuste
suhtes), kuid samal ajal säilitada ka KüTS kehtiva versiooni § 3 lg 4 punktist 4 sõnastust
„kohaliku omavalitsuse üksus“ ja punkti 13. „Kohaliku tasandi avaliku halduse üksuse“ sisu on
defineeritud KüTS § 2 punktis 13, kuid seos on ka avaliku halduse üksuse mõistega, mis on
defineeritud NIS2 direktiivi artikli 6 punktis 35 (mida eraldiseisvalt eelnõuga üle ei võta).
Kui kommenteeritava NIS2 direktiivi sätte üle võtmisel otsustatakse, et seda võetakse kitsamalt
üle ja kehtivat õigust ei säilitata, siis see võib kaasa tuua olukorra, kus kohalike omavalitsuste ja
nende valitsemisel olevate asutuste suhtes ei kohaldata ühtseid küberturvalisuse nõudeid ning see
võib kaasa tuua tõrkeid ja probleeme nende osutatavate avalike teenuste osutamisele või nende
võrgu- ja infosüsteemidele, sh ka nende üksuste valduses olevatele (isiku)andmete turvalisusele.
Kommenteeritav punkt hõlmatakse KüTSi alla arvestades NIS2 direktiivi artikli 2 lg 2 punktides
b, c ja e ehk KüTS § 1 lg 14 punktides 1, 2 ja 4 olevaid kriteeriume. Esialgsel hinnangul on
kommenteeritava punkti sõnastusele vastavaid üksusi 1776.
KüTS § 1 lg 15 punkt 2 eesmärk on hõlmata KüTSi subjektiks Riigi Kinnisvara AS-i. Selle riigi
äriühingu hallata on mitme KüTSi subjekti, ennekõike keskvalitsuse avaliku halduse üksustega
seotud kinnisvara. Tegemist on äriühinguga, kelle kinnisvaral ja hoonetes olevad võrgu- ja
infosüsteemid on arvestataval määral seotud keskvalitsuse avaliku halduse üksuste
korraldusega.31
Kommenteeritav punkt hõlmatakse KüTSi alla arvestades NIS2 direktiivi artikli 2 lg 2 punktides
b, c, d ja e ehk KüTS § 1 lg 14 punktides 1, 2, 3 ja 4 olevaid kriteeriume. Esialgsel hinnangul on
kommenteeritava punkti sõnastusele vastavaid üksusi 1.
KüTS § 1 lg 15 punkt 3 on seotud ka NIS2 direktiivi I lisa 1-c-kolmanda viitega (Euroopa Liidu
Nõukogu direktiivi 2009/119/EÜ, millega kohustatakse liikmesriike säilitama toornafta ja/või
naftatoodete miinimumvarusid (edaspidi direktiiv 2009/119/EÜ), artikli 2 punktis f määratletud
varude säilitamise kesküksused). Direktiivi 2009/119/EÜ artikli 2 punktis f on varude säilitamise
31 Vt Rahandusministeeriumi võrgulehel olevat selgitust riigi kinnisvara ja Riigi Kinnisvara AS kohta -
https://fin.ee/riigihaldus-ja-avalik-teenistus-kinnisvara/riigi-kinnisvara.
48 / 151
kesküksuseks (CSE) „asutus või talitus, kellele võib anda volitused tegutseda naftavarude,
sealhulgas kriisivarude ja erivarude soetamiseks, säilitamiseks või müümiseks“. Vedelkütusevaru
seaduse § 4 kohaselt varu „moodustab ja seda haldab hädaolukorra seaduse § 181 lõikes 1
sätestatud äriühing“. Viidatud hädaolukorra seaduses lõikes on sätestatud: „Riigi tegevusvaru
(edaspidi varu) moodustab, seda haldab ja selle kasutusele võtmise korraldab riigi äriühing,
kelle põhikirjalise tegevuse eesmärk on varu moodustamine ja haldamine (edaspidi varu
haldaja)“. Sellest lähtuvalt on kommenteeritavas punktis kasutatud sõnastust, et tegemist on riigi
tegevusvaru haldajaga.
Kommenteeritav punkt hõlmatakse KüTSi alla arvestades NIS2 direktiivi artikli 2 lg 2 punktides
b, c, d ja e ehk KüTS § 1 lg 14 punktides 1, 2, 3 ja 4 olevaid kriteeriume. Esialgsel hinnangul on
kommenteeritava punkti sõnastusele vastavaid üksusi 1.
KüTS § 1 lg 15 punkt 4 eesmärk on seotud kehtiva KüTS § 3 lg 1 p 9 säilitamisega ehk selle
punktiga hõlmatakse Riigi Infokommunikatsiooni Sihtasutust. Kommenteeritav punkt hõlmatakse
KüTSi alla arvestades NIS2 direktiivi artikli 2 lg 2 punktides b, c, d ja e ehk KüTS § 1 lg 14
punktides 1, 2, 3 ja 4 olevaid kriteeriume. Esialgsel hinnangul on kommenteeritava punkti
sõnastusele vastavaid üksusi 1.
KüTS § 1 lg 15 punkt 5 eesmärk on seotud kehtiva KüTS § 3 lg 4 p 1 säilitamisega. Nimetatud
punkt lisati KüTSi 2022. a küberturvalisuse seaduse ja teiste seaduste muutmise seaduse 531 SE
tulemusel.32 Tolle eelnõu seletuskirjas (edaspidi 531 SE seletuskiri) selgitati nimetatud sätte
lisamist seletuskirja lk-l 10 järgmiselt: „Loetelu esimene punkt on [avaliku teabe seaduse]
tähenduses andmekogu vastutav ja volitatud töötleja. [Avaliku teabe seaduse] § 431 lõikes 1
olevat andmekogu definitsioonis olev lauseosa „mis asutatakse ja mida kasutatakse seaduses,
selle alusel antud õigusaktis või rahvusvahelises lepingus sätestatud ülesannete täitmiseks“
viitab, et andmekogusid asutatakse ja kasutatakse avalike ülesannete täitmiseks. Seetõttu on
kohane hõlmata avalikus sektoris oleva teenuse osutaja nimekirja ka andmekogude vastutavad ja
volitatud töötlejad; sh enamik neist on hõlmatud ka muude kavandatava § 3 lõikes 4 olevate
punktide sõnastuste tõttu, kuid mitte kõik. Näiteks ei ole muude punktidega hõlmatud
Liikluskindlustuse Fond, mis on [avaliku teabe seaduse] mõistes andmekogu vastutav töötleja.
Andmekogude vastutavate ja volitatud töötleja hõlmamine avaliku sektori loetelu alla on vajalik
ka põhjusel, et eelnõu asendab [avaliku teabe seaduse] alusel kehtestatud ISKE KüTS-i alusel
kehtestava [Eesti infoturbestandardiga] ning selleks, et tagada andmekogude küberturvalisus,
tuleb seega ka täpsustada KüTS-i kohaldamisala. Ka juba kehtiva õiguse kohaselt oli volitatud
töötlejatel kohustus [avaliku teabe seadusest] tulenevalt täita vastutava töötleja juhiseid
andmekogu turvalisuse tagamisel. Olenemata sellest, et vastutav töötleja vastutab tema
andmekoguga toimuva osas isiklikult, sest vastutust ei ole võimalik edasi anda, ei ole vastutavad
töötlejad olnud aktiivsed vastavasisulisi juhiseid jagama. Sellele vaatamata tuleb volitatud
töötlejal tagada endast lähtuvalt turvalisus vähemalt samaväärsel tasemel vastutava töötlejaga“.
32 https://www.riigikogu.ee/tegevus/eelnoud/eelnou/cd3107f9-b19c-4ed4-b6a7-7379fa3bf6b9/kuberturvalisuse-
seaduse-ja-teiste-seaduste-muutmise-seadus/.
49 / 151
Avaliku teabe seaduse § 434 lõige 1 defineerib andmekogu vastutava töötleja (haldaja) kui „riigi-
või kohaliku omavalitsuse asutus, muu avalik-õiguslik juriidiline isik või avalikke ülesandeid
täitev eraõiguslik isik, kes korraldab andmekogu kasutusele võtmist, teenuste ja andmete
haldamist. Andmekogu vastutav töötleja vastutab andmekogu haldamise seaduslikkuse ja
andmekogu arendamise eest.“
Sama paragrahvi lõike 2 kohaselt võib andmekogu vastutav töötleja „volitada andmete töötlemise
ja andmekogu majutamise teisele riigi- või kohaliku omavalitsuse asutusele, avalik-õiguslikule
juriidilisele isikule või hanke- või halduslepingu alusel eraõiguslikule isikule vastutava töötleja
poolt ettenähtud ulatuses“. Tegemist on siis volitatud töötlejale vastava ülesande volitamisega.
Andmekaitse Inspektsiooni andmekogude juhendis33 on lk-l 13 volitatud töötleja ja tema rolli
kohta märgitud: „volitatud töötleja võib olla nii vastutava töötleja kontrolli all tegutsev
andmekogu igapäevane haldaja kui ka teenuste osutaja näiteks andmekogu majutaja või
arendajana. Sellist volitatud töötleja rolli täidavad paljude andmekogude suhtes IT-asutused
nagu RIK ja SMIT. Teenuse osutajaid ei ole vajalik põhimääruses nimepidi loetleda, piisab
nende ülesannete nimetamisest“. Ehk siis andmekogu volitatud töötleja all avaliku teabe seaduse
kontekstis on mõeldud ennekõike olukorda, kus see volitatud töötleja majutab konkreetset
andmekogu ja vajadusel tegeleb selle andmekoguga seotud arenduste ja ülalpidamistega.
Andmekogu volitatud töötleja all ei ole siin mõeldud näiteks andmeandjat avaliku teabe seaduse
tähenduses (vt avaliku teabe seaduse § 435 lõiget 2) ning ka mitte igasugust isikuandmete
volitatud töötlejat isikuandmete kaitse üldmääruse või isikuandmete kaitse seaduse tähenduses.
Kommenteeritav punkt hõlmatakse KüTSi alla arvestades NIS2 direktiivi artikli 2 lg 2 punktides
b, c, d ja e ehk KüTS § 1 lg 14 punktides 1, 2, 3 ja 4 olevaid kriteeriume. Esialgsel hinnangul on
kommenteeritava punkti sõnastusele vastavaid üksusi 1268.
KüTS § 1 lg 15 punkt 6 eesmärk on seotud kehtiva KüTS § 3 lg 4 p 2 säilitamisega.
531 SE seletuskirjas selgitati nimetatud sätte lisamist lk-l 10 järgmiselt: „Loetelu teine punkt on
Arenguseire Keskus, mis on küll Riigikogu Kantselei struktuuriüksus, kuid arenguseire seaduse §
3 lõike 2 alusel on Keskus oma ülesannete täitmisel iseseisev. Keskuse ülesandeks on ühiskonna
pikaajaliste (üle 10-aastase ajahorisondi ulatuvate) arengute tuvastamine, analüüs ja nende
põhjal erinevate arengustsenaariumite koostamine koos Eesti ühiskonnale avanevate võimaluste
ja ohtude eristamisega, arengustsenaariumite realiseerimise jälgimine ning vajadusel
arengustsenaariumite ja nende järelmite korrigeerimine.34 Eelnõu eesmärk on tagada ka Keskuse
tegevuses kasutatavate süsteemide ja andmete turvalisus, mistõttu on õigusselguse huvides eraldi
välja toodud ka Arenguseire Keskus kui Riigikogu Kantselei struktuuriüksus. Eelduslikult
kohaldatakse küberturvalisuse nõudeid kõikide subjektide kõikidele struktuuriüksustele, kuid see
punkt loetelus on loodud õigusselguse tagamise eesmärgil, sest Arenguseire Keskus on oma
ülesannete täitmisel iseseisev.“
33 https://abi.ria.ee/riha/materjalid-riha-kasutajale. 34 Arenguseire Keskuse tutvustus: https://www.riigikogu.ee/riigikogu/riigikogu-kantselei/juhtkond-ja-osakonnad/.
50 / 151
Kommenteeritav punkt hõlmatakse KüTSi alla arvestades NIS2 direktiivi artikli 2 lg 2 punktides
b ja e ehk KüTS § 1 lg 14 punktides 1 ja 4 olevaid kriteeriume. Esialgsel hinnangul on
kommenteeritava punkti sõnastusele vastavaid üksusi 1.
KüTS § 1 lg 15 punkt 7 eesmärk on seotud kehtiva KüTS § 3 lg 4 p 4 säilitamisega.
531 SE seletuskirjas selgitati nimetatud sätte lisamist lk-l 10 järgmiselt: „Loetelu neljas punkt on
kohaliku omavalitsuse üksuste liit, nt Harjumaa Omavalitsuste Liit, ning kohaliku omavalitsuse
üksus ehk vallad ja linnad. Selle ning loetelu neljateistkümnenda punkti eesmärk on täpsustada
kohaldamisala kohaliku omavalitsuse üksuse kontekstis, kus sarnaselt riigiasutustega on
õigusselguse huvides vajalik määratleda avalik sektor täpsemalt kui juriidilise isiku tasandil.“
Kommenteeritav punkt hõlmatakse KüTSi alla arvestades NIS2 direktiivi artikli 2 lg 2 punkti e
ehk KüTS § 1 lg 14 punktis 4 olevat kriteeriumi. Esialgsel hinnangul on kommenteeritava punkti
sõnastusele vastavaid üksusi 16.
KüTS § 1 lg 15 punkt 8 eesmärk on seotud kehtiva KüTS § 3 lg 4 p 9 säilitamisega.
531 SE seletuskirjas selgitati nimetatud sätte lisamist seletuskirja lk-l 11 järgmiselt: „Loetelu
kümnes punkt on Riigimetsa Majandamise Keskus. Eelnõu koostamise hetkel on Riigimetsa
Majandamise Keskus ainus riigitulundusasutus Eestis. Kahjuks aga ei ole eelnõu koostamise
hetkel kehtivas õiguses riigitulundusasutuse tähendust määratletud ning puudub ka võimalus
Riigimetsa Majandamise Keskust muud moodi määratleda. Kuni 01.01.2010 kehtinud
riigivaraseaduse § 6 lõike 1 alusel on riigitulundusasutus riigiasutus, mis võib osutada tasulisi
teenuseid ja saada selle eest tulu. Ka eelnõu koostamise hetkel kehtivas riigivaraseaduses on
korduvalt riigitulundusasutuse terminit kasutatud, kuid puudub eraldi säte termini
määratlemiseks. Kehtiva riigivaraseaduse eelnõu seletuskirja35 kohaselt ei peetud õigeks
sätestada asutuse vorm riigivaraseaduses ning soovitati seda teha Vabariigi Valitsuse seaduses
või näiteks sellest asutuse vormist loobuda. Eelnõu koostamise hetkeks kumbagi aga tehtud ei ole.
Sellest hoolimata on aga vajalik tagada Riigimetsa Majandamise Keskuse süsteemide turvalisus,
kuivõrd tema teenused ning selleks kasutatavad andmed on ühiskonna toimimise seisukohast
olulised.“
Kommenteeritav punkt hõlmatakse KüTSi alla arvestades NIS2 direktiivi artikli 2 lg 2 punktides
b ja e ehk KüTS § 1 lg 14 punktides 1 ja 4 olevaid kriteeriume. Esialgsel hinnangul on
kommenteeritava punkti sõnastusele vastavaid üksusi 1.
KüTS § 1 lg 15 punkt 9 eesmärk on seotud teatavas ulatuses kehtiva KüTS § 3 lg 3 p 7
säilitamisega.
35 Riigivaraseadus 437 SE seletuskiri lk 14, kättesaadav:
https://www.riigikogu.ee/tegevus/eelnoud/eelnou/bd686b3c-a592-2d90-dc53-12d484999745/Riigivaraseadus.
51 / 151
Kehtiva KüTSi kohaselt peavad kõik perearstid järgima KüTSis olevaid nõudeid, sh algselt anti
perearstidele üleminekuks aega ca 3,5 aastat: KüTS jõustus esmakordselt mais 2018 ning KüTS §
29 lõike 3 kohaselt jõustus perearstidega seotud säte 2022. aasta 1. jaanuaril.
Kommenteeritavas punktis on lauseosa „kes ei ole elutähtsa teenuse osutaja“, kuna CER
direktiivi üle võtmisel on edaspidi osad perearstid samal ajal ka elutähtsa teenuse osutajad
hädaolukorra seaduse tähenduses (kes hõlmatakse KüTSi subjektiks kavandatava KüTS § 1 lg 13
punkti 8 tulemusena). 426 SE seletuskirjas on märgitud (lk-l 42): „Hinnanguliselt vastab
elutähtsa teenuse osutaja kriteeriumidele 60 perearstiabi teenuse osutajat. See tagab igas
maakonnas vähemalt kaks elutähtsat teenust osutavat perearstiabi osutajat ning suuremates
maakondades elanikkonna arvu järgi rohkem“. Täiendavalt on sama seletuskirja lk-l 59
märgitud: „Elutähtsa teenuse osutajateks on kavas määrata ka 26 perearstiabi osutajat“; ning lk-
del 74-75 on märgitud: „Hinnanguliselt saavad ETOdeks kuni 26 perearstiabi osutajat, kes on
jaotunud üle Eesti nii, et igas maakonnas oleks vähemalt kaks elutähtsat teenust osutavat
perearstiabi osutajat. Eestis on üle 400 isikut, kellel on kehtiv tegevusluba perearstiabi perearsti
nimistu alusel osutamiseks. Mõju sihtrühm on väike, kuna moodustab u 5% kõikidest
üldarstiabiteenuse osutajatest.“ Sarnased põhimõtted on ka ette nähtud tsiviilkriisi ja riigikaitse
seaduses, mis hakkab tulevikus asendama hädaolukorra seadust.
Kehtiv KüTSi § § 3 lg 1 p 7 hõlmab KüTSi alla kõik tervishoiuteenuste korraldamise seaduses
sätestatud perearstiabi osutajad perearstiabi osutamisel. Selleks, et eristada neid perearste, kes ei
ole edaspidi elutähtsa teenuse osutajad, kuid kes NIS2 direktiivi I lisas märgitud 5-esimeses viite
(Euroopa Parlamendi ja nõukogu direktiivi 2011/24/EL, patsiendiõiguste kohaldamise kohta
piiriüleses tervishoius (edaspidi direktiiv 2011/24/EL), artikli 3 punktis g määratletud
tervishoiuteenuse osutajad) kohaselt on hõlmatud ka NIS2 direktiivi alla, on tekitatud
kommenteeritav punkt. Direktiivi 2011/24/EL artikli 3 punktis g on tervishoiuteenuse osutajaks
„füüsiline või juriidiline isik või muu üksus, kes osutab liikmesriigi territooriumil seaduslikult
tervishoiuteenuseid“. Sama artikli punktis a on defineeritud tervishoiuteenus kui:
„tervishoiuteenused, mida tervishoiutöötajad osutavad patsientidele, et hinnata, säilitada või
taastada nende terviseseisundit, sealhulgas ravimite ja meditsiiniseadmete väljakirjutamine,
väljastamine ja nendega varustamine“. Ehk üldistatult võib siia alla esmapilgul paigutada
erinevaid tervishoiuteenuseid ja nende osutajaid, kuid eelnõu koostajate soov on NIS2 direktiivi
võimalikult kitsalt üle võtta, sh ennekõike säilitada kehtivat õigust.
Kommenteeritava punkti puhul ei ole võimalik lisada kehtivas KüTSi asjakohases punktis olevat
lauseosa „perearstiabi osutamisel“, kuna NIS2 direktiiv näeb ette, et sellised üksused tulevad
tervikuna KüTSi subjektiks. Samas on nendel üksustel võimalik näiteks Eesti infoturbestandardi
rakendamisel, konkreetsemalt kaitsetarbe määratlemisel, lähtuda perearstiabi osutamise teenusest.
Seda olukorras, kus nimetatud üksus ei soovi enda varasemalt paika pandud kaitsetarvet muuta ja
(uuendatud) riskianalüüs seda käsitlust ka toetab.
Direktiivi 2011/24/EL artikli 3 punkt g on seotud ka kehtiva KüTS § 3 lõike 1 punktiga 6, kuid
tolle KüTSi punkti sisu saab olema edaspidi kaetud nii, et selles nimetatud üksused saavad CER
52 / 151
direktiivi üle võtva 426 SE tulemusena elutähtsa teenuse osutajateks. Seetõttu puudub ka vajadus
tekitada sarnast sätet nende üksuste suhtes nagu on kommenteeritav punkt.
Kommenteeritav punkt hõlmatakse KüTSi alla arvestades NIS2 direktiivi artikli 2 lg 2 punktides
b, c ja e ehk KüTS § 1 lg 14 punktides 1, 2 ja 4 olevaid kriteeriume. Esialgsel hinnangul on
kommenteeritava punkti sõnastusele vastavaid üksusi 163.
KüTS § 1 lg 15 punkt 10 eesmärk on seotud kehtiva KüTS § 3 lg 4 p 11 säilitamisega.
531 SE seletuskirjas selgitati nimetatud sätte lisamist seletuskirja lk-del 11-12 järgmiselt:
„Loetelu üheteistkümnes punkt on seaduse alusel loodud avalik-õiguslik juriidiline isik, nt Eesti
Haigekassa, Notarite Koda või erinevad ülikoolid.36 Eranditult kannavad kõik avalik-õiguslikud
juriidilised isikud olulist osa avaliku sektori toimimisel, olgu tegemist ühenduse, asutuse või
fondiga. Küberturvalisuse nõuded kohaldusid mitmele avalik-õiguslikule juriidilisele isikule ka
varasemalt kui andmekogu vastutavale või volitatud töötlejale. Kuivõrd avalik-õiguslikel
juriidilistel isikutel on reeglina arvestatav ligipääs erinevatele andmekogudele ning nende
osutatavad reguleeritud teenused on ühiskondlikult tähtsad, siis on ka selle eelnõu punkti
eesmärk avalikule sektorile mõeldud kohaldamisala täpsustada avalik-õiguslike juriidiliste
isikute suhtes. Siinse punkti suhtes on üks erinorm seotud Eesti Rahvusringhäälinguga (vt kehtiva
KüTS § 3 lg 1 punkti 10 ning sellega seonduvalt ka siinse eelnõu § 1 punkti 5 ning § 3 selgitust).
Vastav erinorm kehtib kuni 2026. aasta 31. detsembrini.“
Siin vt ka Eesti Rahvusringhäälingu seaduse muudatuse selgitusi.
Kommenteeritav punkt hõlmatakse KüTSi alla arvestades NIS2 direktiivi artikli 2 lg 2 punktides
d ja e ehk KüTS § 1 lg 14 punktides 3 ja 4 olevaid kriteeriume. Esialgsel hinnangul on
kommenteeritava punkti sõnastusele vastavaid üksusi 26.
KüTS § 1 lg 16 eesmärk on tekitada paindlikkust sama paragrahvi lõigete 14 ja 15 suhtes ehk
tekitada volitusnorm Vabariigi Valitsusele määruse andmiseks, millega on tulevikus võimalik
lisada täiendavaid üksusi KüTSi nõuete alla. Samas määruses tuleb ära seostada KüTS § 1 lõike
14 punktides oleva kriteeriumi või kriteeriumitega. Taolise määruse volitusnormi tekitamine
võimaldab ka vähendada õigusloomet ehk vältida olukorda, kus võib tekkida pidevalt või mitu
korda muuta KüTSi. Kuna volitusnormi alusel annab määruse Vabariigi Valitsus, siis on tagatud,
et kõik huvitatud ning potentsiaalsed uued osapooled-üksused kaasatakse määruse koostamisse.
Vabariigi Valitsuse tase määruse andmisel on ka seetõttu, et lisanduvad uued osapooled-üksused
ei ole eelduslikult ainult riikliku küberturvalisuse tagamise valdkonna eest vastutava ministri
(eelnõu kohaselt justiits- ja digiministri) valitsemisalaga seotud.
Siinse volitusnormiga on seotud ka kavandatav KüTS § 3 lõikega 14 ehk samas Vabariigi
Valitsuse määruses täpsustatakse, kas uus subjekt on elutähtis üksus või oluline üksus.
36 Algse altviite sõnastust muudetud: avalik-õiguslikud juriidilised isikud on leitavad siit:
https://www.fin.ee/riigihaldus-ja-avalik-teenistus-kinnisvara/riigihaldus/avaliku-sektori-statistika – vt „Töötajad ja
asutused“ sakk „Avaliku sektori asutused“, filtreerides asutuse tüübina „avalik-õiguslikud asutused“.
53 / 151
Volitusnormi tekitamata jätmise korral tuleb teha KüTSis, ennekõike eelnõuga lisatava
paragrahvi 1 lõikes 15 täiendusi, lisades sinna nimekirja uute üksuste valdkondade või sektorite
nimetusi.
Eelnõu koostajad markeerivad tsiviilkriisi ja riigikaitse seadusest (eelnõude infosüsteemi toimik
nr 21-0915; 14.06.2024 eelnõude infosüsteemis registreeritud eelnõu tekstist) teatud
organisatsioonide tüübid ja valdkonnad, kes peaksid saama püsiva kriisiülesande sama seaduse
tähenduses (mis ei tähenda automaatselt KüTSi nõuete järgimise kohustust, kuna see seos on
ainult elutähtsa teenuse osutajate korral). Eelnõu koostajatena ootame tagasisidet, kas järgmised
organisatsioonid võiks lisada nt KüTS § 1 lõikes 15 olevasse loetelusse või tasuks mõelda nende
lisamist kunagi hiljem kommenteeritava lõike alusel antavasse Vabariigi Valitsuse määrusesse:
- ettepanek atmosfääriõhu kaitse seadusest tsiviilkriisi ja riigikaitse seaduse eelnõus -
kavandatava atmosfääriõhu kaitse seaduse § 381 lõige 1: Käesolevas jaotises sätestatud
õhukvaliteedi taseme hindamine on püsiv kriisiülesanne, mida täidab isik, kellega on sõlmitud
[atmosfääriõhu kaitse seaduse] § 30 lõikes 5 nimetatud haldusleping.;
- ettepanek lennundusseadusest tsiviilkriisi ja riigikaitse seaduse eelnõus - kavandatava
lennundusseaduse § 78 (lennujulgestusteenuse osutaja püsiv kriisiülesanne) lõige 1: Elutähtsat
teenust osutava lennuvälja käitlejaga sõlmitud lepingu alusel lennujulgestusmeetmete
kohaldamist tagava lennujulgestusteenuse osutaja püsiv kriisiülesanne on tagada teenuse
osutamine vastavalt [lennundusseaduse] 71. peatükis sätestatule ja lennuvälja käitlejaga sõlmitud
lepingule.;
- ettepanek lennundusseadusest tsiviilkriisi ja riigikaitse seaduse eelnõus - kavandatava
lennundusseaduse § 5041 (maapealse teenindaja püsiv kriisiülesanne) lõige 1: Elutähtsat teenust
osutavale lennuvälja käitlejale maapealse teeninduse lepingu alusel nõukogu direktiivi 96/67/EÜ
lisas loetletud maapealse käitluse teenuseid, välja arvatud toitlustusteenust, osutava maapealse
teenindaja püsiv kriisiülesanne on tagada teenuse osutamine vastavalt käesolevas peatükis
sätestatule ja maapealse teeninduse lepingule.;
- ettepanek maagaasiseadusest tsiviilkriisi ja riigikaitse seaduse eelnõus - kavandatava
maagaasiseaduse § 22 (võrguettevõtja õigused ja kohustused) lõige 17: Käesoleva paragrahvi
lõikes 15 nimetatud elutähtsa teenuse osutajale võrgu või selle osa arendamise või opereerimise
teenus osutava isiku püsiv kriisiülesanne on tagada võrgu toimimine vastavalt tsiviilkriisi ja
riigikaitse seaduse § 75 lõike 6 alusel kehtestatud nõuetele.;
- ettepanek meresõiduohutuse seadusest tsiviilkriisi ja riigikaitse seaduse eelnõus - kavandatava
meresõiduohutuse seaduse § 50 (jäämurdetööd) lõige 3: Jäämurdeteenuse osutaja püsiv
kriisiülesanne on tagada jäämurdeperioodil jäämurdmine enda teeninduspiirkonnas vastavalt
Transpordiametiga sõlmitud lepingule.;
- ettepanek raudteeseadusest tsiviilkriisi ja riigikaitse seaduse eelnõus - kavandatava
raudteeseaduse § 6 (avalik reisijatevedu) lõige 3: Avalikku reisijatevedu teostava raudtee-
54 / 151
ettevõtja püsiv kriisiülesanne on korraldada teenust vastavalt käesoleva paragrahvi lõikes 1
sätestatule.;
- ettepanek sadamaseadusest tsiviilkriisi ja riigikaitse seaduse eelnõus - kavandatava
sadamaseaduse § 32 (sadamaoperaatori püsiv kriisiülesanne) lõige 1: [sadamaseaduse] § 31 lõike
2 alusel kinnitatud elutähtsa teenuse osutamiseks kasutatavas sadamas konteiner- ja
veeremkaupu lastiva ja lossiva sadamaoperaatori püsiv kriisiülesanne on tagada teenuse
osutamine vastavalt [sadamaseaduses] sätestatule ja elutähtsat teenust osutava sadama pidajaga
sõlmitud lepingule.;
- ettepanek tervishoiuteenuste korraldamise seadusest tsiviilkriisi ja riigikaitse seaduse eelnõus -
kavandatava tervishoiuteenuste korraldamise seaduse § 4 (tervishoiuteenuse osutaja) lõige 2:
Valdkonna eest vastutav minister võib kehtestada määrusega:
1) loetelu tervishoiuteenuse osutajatest, kes ei kuulu elutähtsa teenuse osutajate hulka, kuid
täidavad püsivaid kriisiülesandeid tsiviilkriisi ja riigikaitse seaduse § 10 lõike 2 tähenduses;
2) tervishoiuteenuse osutaja püsiva kriisiülesande täpsema sisu, selle täitmise mahu, püsiva
kriisiülesande täitmise ja selleks valmistumise nõuded, arvestades [tervishoiuteenuste
korraldamise seaduse] §-des 581–583 sätestatut.;
- ettepanek ühistranspordiseadusest tsiviilkriisi ja riigikaitse seaduse eelnõus - kavandatava
ühistranspordiseaduse § 6 (vedaja ja vedaja püsiv kriisiülesanne) lõige 4: Käesoleva paragrahvi
lõikes 3 nimetatud liinivedu teostava vedaja püsiv kriisiülesanne on tagada liinivedu pädeva
asutusega sõlmitud avaliku teenindamise lepinguga või haldusaktiga pandud avaliku
teenindamise kohustuse kohaselt.
Siinsetest organisatsioonidest on jäetud välja need üksused, kes on juba praegu või hõlmatakse
käesoleva eelnõuga KüTSi nõuete järgijaks.
KüTSi muutmisel 2022. aastal37 oli üks Riigikokku esitatud eelnõus võimalikest subjektidest ka
Riigikogus esindatud erakond erakonnaseaduse tähenduses. Tolle lisanduse selgituseks oli
seletuskirjas järgmine: „Erakonnad kui mittetulundusühingud on eraõiguslikud juriidilised isikud,
kuid Riigikogus esindatud erakondadele makstakse riigieelarvest eraldisi ning nad kannavad
avalikus sektoris olulist funktsiooni seadusloomes, mh ka fraktsioonide tegevuse kaudu. Seega kui
Riigikogus esindatud erakond kasutab võrgu- ja infosüsteeme, on nendele süsteemidele ka
avaliku sektori toimimise tagamise seisukohalt kõrgendatud kaitsevajadus.“ Riigikogu menetluse
käigus eemaldati nimetatud säte, kuid eelnõu koostajatena ootame tagasisidet, kas lisada nad
näiteks KüTS § 1 lõikes 15 olevasse loetelusse või tasuks mõelda nende lisamist kunagi hiljem
kommenteeritava lõike alusel antavasse Vabariigi Valitsuse määrusesse.
37 Küberturvalisuse seaduse ja teiste seaduste muutmise seadus 531 SE – kättesaadav:
https://www.riigikogu.ee/tegevus/eelnoud/eelnou/cd3107f9-b19c-4ed4-b6a7-7379fa3bf6b9/kuberturvalisuse-
seaduse-ja-teiste-seaduste-muutmise-seadus/.
55 / 151
KüTS § 1 lõike 21 eesmärk on üle võtta NIS2 direktiivi artikli 2 lõige 9. Tolle lõike tekst ja selles
viidatud lõigete tekstid:
„7. [NIS2 direktiivi] ei kohaldata avaliku halduse üksuste suhtes, mis tegutsevad riigi julgeoleku,
avaliku julgeoleku, kaitse või õiguskaitse valdkonnas, sealhulgas kuritegude ennetamise,
uurimise, avastamise ja nende eest vastutusele võtmise valdkonnas.
8. Liikmesriigid võivad vabastada konkreetsed üksused, mis tegutsevad riigi julgeoleku, avaliku
julgeoleku, kaitse või õiguskaitse valdkonnas, sealhulgas kuritegude ennetamise, uurimise,
avastamise ja nende eest vastutusele võtmisega seotud tegevused, või mis osutavad teenuseid
üksnes käesoleva artikli lõikes 7 osutatud avaliku halduse üksustele, artiklis 21 või 23 sätestatud
kohustuste täitmisest seoses nimetatud tegevuste ja teenustega. Sellistel juhtudel VII peatükis
osutatud järelevalve- ja täitemeetmeid nende konkreetsete tegevuste või teenuste suhtes ei
kohaldata. Kui üksused tegelevad üksnes sellist liiki tegevusega või osutavaid üksnes sellist liiki
teenuseid, millele on osutatud käesolevas lõikes, võivad liikmesriigid otsustada need üksused ka
artiklites 3 ja 27 sätestatud kohustuste täitmisest vabastada.
9. Lõikeid 7 ja 8 ei kohaldata, kui üksus tegutseb usaldusteenuse osutajana.“
NIS2 direktiivi artikli 2 lõigete 7 ja 8 sisu on juba üle võetud KüTS § 1 lõikes 2 ning selle lõike
osas muudatusi ei tehta ehk siin täiendavaid välistusi ei tekitata.
KüTS § 1 lõige 3 tunnistatakse kehtetuks. Muudatus on seotud asjaoluga, et kehtetuks
tunnistatavas lõike olemus ning sisu on sõnastatud edaspidi KüTS § 1 lõikes 11, mida tuleb
vaadata koos sama paragrahvi lõikega 12.
KüTS § 1 lõike 4 muutmine on seotud NIS2 direktiivi artikliga 4, mis sisustab olukorra, kus
mõne üksuse jaoks kehtivad teisest õigusaktist tulenevad nõuded, mis on samaväärsed NIS2
direktiivi teatavate nõuetega, siis lähtub see üksus vastavast eri valdkonna õigusakti nõuetest.
NIS2 direktiivi artikli 4 sisu:
„1. Kui valdkondlikes liidu õigusaktides nõutakse elutähtsatelt või olulistelt üksustelt
küberturvalisuse riskijuhtimismeetmete võtmist või olulistest intsidentidest teatamist ning kui
need nõuded on vähemalt samaväärse toimega kui [NIS2 direktiivis] sätestatud kohustused, ei
kohaldata selliste üksuste suhtes [NIS2 direktiivi] asjakohaseid sätteid, sealhulgas VII peatükis
sätestatud järelevalve- ja täitmise tagamise sätteid. Kui valdkondlikud liidu õigusaktid ei hõlma
kõiki konkreetse sektori üksusi, mis kuuluvad [NIS2 direktiivi] kohaldamisalasse, kohaldatakse
jätkuvalt [NIS2 direktiivi] asjakohaseid sätteid nende valdkondlike liidu õigusaktidega
hõlmamata üksuste suhtes.
2. Käesoleva artikli lõikes 1 osutatud nõudeid käsitatakse samaväärse toimega kui [NIS2
direktiivis] sätestatud kohustused juhul, kui:
a) küberturvalisuse riskijuhtimismeetmed on mõjult vähemalt samaväärsed artikli 21 lõigetes 1 ja
2 sätestatud meetmetega või
56 / 151
b) valdkondlikus liidu õigusaktis nähakse ette [NIS2 direktiivi] kohane CSIRTide, pädevate
asutuste või ühtsete kontaktpunktide viivitamatu, asjakohasel juhul automaatne ja otsene
juurdepääs [NIS2 direktiivi] kohastele intsidenditeadetele ning kui olulistest intsidentidest
teatamise nõuded on mõjult vähemalt samaväärsed [NIS2 direktiivi] artikli 23 lõigetes 1–6
sätestatud nõuetega.
3. [Euroopa Komisjon] annab hiljemalt 17. juuliks 2023 suunised, milles selgitatakse lõigete 1 ja
2 kohaldamist. Komisjon vaatab kõnealused suunised korrapäraselt läbi. Nende suuniste
ettevalmistamisel võtab komisjon arvesse koostöörühma ja ENISA tähelepanekuid.“
Muudatusega on seotud ka NIS2 põhjenduspunktid 22–29 ja 31, mis selgitavad kommenteeritava
muudatuse tausta ja mõtet, sh ka samasse paragrahvi lisanduvat lõiget 41.
NIS2 artikli 4 lõike 3 kohta on Euroopa Komisjon avaldanud 18.09.2023. a teatise Komisjoni
suunised direktiivi (EL) 2022/2555 (küberturvalisuse 2. direktiiv) artikli 4 lõigete 1 ja 2
kohaldamise kohta 2023/C 328/02.38
Kuna NIS2 artikkel 4 näeb ette, et need erinõuded võivad tulla mõnest Euroopa Liidu õigusaktist
(st ennekõike direktiivist, määrusest, rakendusmäärusest või delegeeritud määrusest), siis on
kommenteeritavasse lõikesse lisatud vastav sõnastus. Samuti on kommenteeritavasse lõikesse
lisatud küberintsidendist teavitamise nõuete osa, kuna see on üks variantidest, mis võib olla
reguleeritud mõnes muus valdkondlikus õigusaktis.
KüTS § 1 lõige 41 on seotud sama paragrahvi lõikega 4, kuna siinne lõige annab küberturvalisuse
valdkonna eest vastutavale ministrile volituse kehtestada määrus, milles täpsustatakse KüTS § 1
lõike 4 sisu. Tolles määruses täpsustatakse-selgitatakse, et milline KüTSi mõttes teenuse osutaja
peab oma küberturvalisuse tagamisega seotud nõuete tagamisel lähtuma enda valdkondlikust
õigusaktist, sh millises ulatuses tuleb seda järgida.
Muudatusega on seotud ka NIS2 direktiivi põhjenduspunktid 22-29, mis selgitavad
kommenteeritava muudatuse tausta ja mõtet, sh on põhjenduspunktides 28 ja 29 toodud välja
erisused finantssektoris ja lennundussektoris võrreldes NIS2 direktiiviga.
KüTS § 11 on seotud NIS2 direktiivi artikli 26 üle võtmisega. Kommenteeritav paragrahv
sätestab, milliste teenuse osutajate suhtes on näiteks KüTSi alusel järelevalvet teostaval pädeval
asutusel võimalik enda volitusi kasutada. Vt siin ka nt NIS2 direktiivi artikli 26 lõiget 5.
Kommenteeritava paragrahviga on seotud ka NIS2 direktiivi põhjenduspunktid 113–115.
KüTS § 11 lõige 1 võtab üle NIS2 direktiivi artikli 26 lõike 1 sissejuhatava lause, sätestades
üldreegli, et teenuse osutaja suhtes kohaldatakse jurisdiktsiooni, kus on tema tegevuskoht või kus
ta on asutatud.
38 https://eur-lex.europa.eu/legal-
content/ET/TXT/?uri=CELEX%3A52023XC0918%2801%29&qid=1726668543740.
57 / 151
KüTS § 11 lõige 2 tekitab eelnevalt mainitud üldreeglile kolm laadi erandit, võttes üle NIS2
direktiivi 26 lõike 1 punktid a–c.
Digitaalse teenuse osutaja olemuse-sisu osas vt kavandatavat KüTS § 2 punkti 74 ning sealseid
selgitusi. Keskvalitsuse avaliku halduse üksuse ja kohaliku tasandi avaliku halduse üksuse
olemuse-sisu osas vt kavandatava KüTS § 2 punkte 12 ja 13.
Siinse lõike punktide tulemuseks võib olla ka olukord, kus ühel üksusel on mitu jurisdiktsiooni
(näiteks, kui üks üksus pakub pilvandmetöötlusteenust), siis tuleb lähtuda kommenteeritava lõike
punktist 2, ja kui ta pakub üldkasutatava elektroonilise side teenust, siis tuleb lähtuda
kommenteeritava lõike punktist 1. Sisuliselt sõltub see pakutavast teenusest.
KüTS § 11 lõikega 3 võetakse üle NIS2 direktiivi artikli 26 lõige 2, mis näeb ette konkreetse
järjekorra tegevustest, mille tulemusena selgitatakse välja digitaalse teenuse osutaja peamine
tegevuskoht. Ehk kui digitaalse teenuse osutaja peamine tegevuskoht on kommenteeritava lõike
esimese punkti kohaselt „Euroopa Liidu liikmesriik, kus turvameetmeid käsitlevad otsused
valdavalt tehakse“, siis puudub vajadus peamise tegevuskoha välja selgitamiseks punktide 2 või 3
alusel. Kuid kui kommenteeritava lõike esimene punkt ei ole asjakohane (nt võetakse
turvameetmeid käsitlevad otsused vastu Ühendkuningriigis või Ameerika Ühendriikides), siis
tuleb vaadata, kas tegemist on teise punkti olukorraga; kui teine punkt ei ole ka asjakohane, siis
kohaldub kolmas punkt.
KüTS § 11 lõike 4 mõte on erisuse tekitamine sama paragrahvi lõikele 3. Kommenteeritava
lõikega võetakse üle NIS2 direktiivi artikli 26 lõike 3 lause 3. KüTS § 11 lõike 5 eesmärk on üle
võtta NIS2 direktiivi artikli 26 lõike 3 lause 4, andes selguse, et kas ja kes võib konkreetse
teenuse osutaja suhtes võtta õiguslikke meetmeid, kui digitaalse teenuse osutaja ei ole endale
esindajat määranud. Digitaalse teenuse osutaja esindaja osas vt ka kavandatavat KüTS § 2 punkti
75.
NIS2 direktiivi artikli 26 lõike 3 kogutekst (sh alla on joonitud kommenteeritava paragrahviga
seotud lõiked 4 ja 5):
„3. Kui lõike 1 punktis b osutatud üksuse tegevuskoht ei ole liidus või ta ei ole seal asutatud, kuid
ta pakub liidus oma teenuseid, määrab ta endale liidus esindaja. Esindaja tegevuskoht peab
olema ühes nendest liikmesriikidest, kus teenuseid osutatakse, või ta peab olema seal asutatud.
Kõnealust üksust loetakse selle liikmesriigi jurisdiktsiooni alla kuuluvaks, kus on esindaja
tegevuskoht või kus ta on asutatud. Kui käesoleva lõike kohast esindajat liidus määratud ei ole,
võib üksuse vastu, kes rikub [NIS2 direktiivi], võtta õiguslikke meetmeid iga liikmesriik, kus
üksus teenuseid osutab.“
KüTS § 11 lõike 6 sisu on NIS2 direktiivi artikli 26 lõike 4 üle võtmine.
KüTS §-ga 2 tehtavad muudatused ei lähtu mõistete tähestikulisest järjestusest, vaid arvestab
kehtiva paragrahvi mõistete sõnastamise ja selgitamise järjestuse loogikat.
58 / 151
Lisanduva KüTS § 2 punktiga 11 võetakse üle NIS2 direktiivi artikli 6 punkt 38: „füüsiline isik
või juriidiline isik, kes on asutatud ja keda tunnustatakse tema tegevuskohajärgse riigisisese
õiguse kohaselt, kes võib enda nimel omada õigusi ja kanda kohustusi“. Kommenteeritava punkti
selgituses on märgitud, et tegemist on tegevuskohajärgse riigisisese õigusega, kuna näiteks
digitaalse teenuse osutajate korral võib tekkida olukord, kus konkreetne isik ei ole Eestis
asutatud, kuid ta osutab ka teenuseid Eestis olevatele klientidele. Kommenteeritavat mõistet ehk
üksust kasutatakse ka eelnõuga lisatavates KüTS § 1 uutes lõigetes olevate mõistete sõnastustes
ning KüTSis endas puudus parem samalaadne sõna, mis sõna „üksus“ olemust paremini
iseloomustaks. Näiteks ei ole võimalik siin kasutada lühendit/terminit „teenuse osutaja“, kuna
sellel on teine kontekst - siin vt ka KüTS § 3 lõike 11 selgitust. Üksuse termin ei tähenda
olukorda, et tegemist on ühe organisatsiooni struktuuriüksusega (nt osakonnaga), vaid sellega
iseloomustatakse tervet organisatsiooni. Kui organisatsiooni üks struktuuriüksus osutab mingit
teenust, mis on toodud välja eelnõu § 1 lisanduvates lõigetes 11–16, siis muutub see vastav
organisatsioon tervikuna KüTSi teenuse osutajaks – kuid sel juhul tuleb täiendavalt hinnata, et
mis osa selle organisatsiooni tegevusest peab järgima KüTSi nõudeid ehk et mis on määratud
kaitsealasse.
KüTS § 2 punktiga 12 tekitatakse lühend „keskvalitsuse avaliku halduse üksus“, mis hõlmab
mitut üksust, kellest enamik on juba praegu kehtiva KüTSiga hõlmatud. Kommenteeritav lühend
on seotud ka NIS2 direktiivi artikli 2 lõike 2 punkt a alapunkti i) sisuga (üksus on: keskvalitsuse
avaliku halduse üksus, nagu see on kindlaks määratud liikmesriigi poolt kooskõlas tema
õigusega). Kommenteeritaval punktil on ka seos avaliku halduse üksuse mõistega, mis on
defineeritud NIS2 direktiivi artikli 6 punktis 35 (mida eraldiseisvalt eelnõuga üle ei võta).
Kommenteeritava punkti puhul on tegemist ka kehtiva õiguse säilitamisega, kuna see mõiste
hõlmab KüTS kehtiva versiooni § 3 lõike 4 punktides 3, 5, 6, 7, 8, 11, 12 ja 14 olevaid
organisatsioone.
Erisusena kehtivast õigusest on kommenteeritavas punktis lisatud nimetusena ka
Finantsinspektsiooni, kelle puhul ei ole otseselt niivõrd selge, kas hetkel tema suhtes kehtib
KüTS, mistõttu sarnaselt teiste üksustega on ta eraldi nimetatud siinse eelnõuga.
Finantsinspektsioon ei ole eraldiseisev juriidiline isik, vaid ta on finantsinspektsiooni seaduse § 4
lõike 1 kohaselt: „autonoomse pädevusega ja oma eelarvega Eesti Panga juures asuv asutus,
mille juhtimisorganid tegutsevad ja esitavad aruandeid [Finantsinspektsiooni seaduses]
sätestatud korras.“ Eelnõu eesmärk on tagada ka Finantsinspektsiooni tegevuses kasutatavate
võrgu- ja infosüsteemide ja andmete turvalisus, mistõttu on õigusselguse huvides eraldi välja
toodud ka Finantsinspektsioon kui Eesti Panga juures asuv asutus. Eelduslikult kohaldatakse
küberturvalisuse nõudeid kõikide subjektide kõikidele struktuuriüksustele või nende juures
asuvatele asutustele, kuid see punkt loetelus on loodud õigusselguse tagamise eesmärgil, sest
Finantsinspektsioon on finantsjärelevalve teostamisel ja kriisilahendusülesannete täitmisel
sõltumatu.
Sarnaselt eelnevalt kommenteeritud punktiga, sätestatakse KüTS § 2 punktis 13 lühend
„kohaliku tasandi avaliku halduse üksus“, mis on seotud NIS2 direktiivi artikli 6 punktis 35
59 / 151
sätestatud mõistega, kuid siinne lühend on seotud ka NIS2 direktiivi artikli 2 lõike 5 punkti a
rakendamisega (Liikmesriigid võivad ette näha, et [NIS2 direktiivi] kohaldatakse: a) kohaliku
tasandi avaliku halduse üksuste suhtes) ning kehtiva õiguse säilitamisega (vt KüTS kehtiva
versiooni § 3 lõike 4 punktis 4 sõnastust „kohaliku omavalitsuse üksus“ ja punkti 13).
Kommenteeritaval punktil pole niivõrd seost NIS2 direktiivi artikli 2 lõike 2 punkti f alapunktiga
ii) (üksus on: ii) liikmesriigi poolt tema õiguse kohaselt kindlaks määratud piirkondliku tasandi
üksus, mis vastavalt riskipõhisele hindamisele osutab teenuseid, mille häirel võib olla oluline
mõju kriitilise tähtsusega ühiskondlikule või majandustegevusele), kuna tolle alapunkti sisu on
seotud piirkondliku (ingl k: regional) tasandi üksusega ehk Eesti puhul maavalitsustega, mida
enam ei ole.
Kui kommenteeritava NIS2 direktiivi sätte üle võtmisel otsustatakse, et seda võetakse kitsamalt
üle ja kehtivat õigust ei säilitata, siis see võib kaasa tuua olukorra, kus kohalike omavalitsuste ja
nende valitsemisel olevate asutuste suhtes ei kohaldata ühtseid küberturvalisuse nõudeid ning see
võib kaasa tuua tõrkeid ja probleeme nende osutatavate avalike teenuste osutamisele või nende
võrgu- ja infosüsteemidele, sh ka nende üksuste valduses olevatele (isiku)andmete turvalisusele.
KüTS § 2 punkti 14 eesmärk on määratleda termin „küberturvalisus“, mis on defineeritud
Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881, mis käsitleb ENISAt (Euroopa Liidu
Küberturvalisuse Amet) ning info- ja kommunikatsioonitehnoloogia küberturvalisuse
sertifitseerimist ja millega tunnistatakse kehtetuks määrus (EL) nr 526/2013 (edaspidi määrus
2019/881), artikli 2 punktis 1, andes ka selguse, kuidas sisustada muid KüTSi õigusnorme, milles
on mainitud küberturvalisust. Tegemist on ka NIS2 direktiivi artikli 6 punkti 3 üle võtmisega.
Määruse 2019/881 artikli 2 punkti 1 kohaselt on küberturvalisuseks „tegevused, mis on vajalikud,
et kaitsta võrgu- ja infosüsteeme, nende kasutajaid ja teisi isikuid küberohtude eest“.
KüTS § 2 punkti 2 muutmine on seotud asjaoluga, et „sündmus“ on laiem mõiste kui „tegevus“
ning see sisustab paremini võrgu- ja infosüsteemi turvalisuse mõistet. Muudatuse tulemusena on
kommenteeritav mõiste ka rohkem kooskõlas NIS2 direktiivi artikli 6 punktis 2 oleva „võrgu- ja
infosüsteemide turvalisuse“ mõistega, milles kasutatakse samamoodi sõna „sündmus“.
KüTS § 2 punktiga 31 võetakse üle NIS2 direktiivi artikli 6 punkt 7. Liikmesriigi all on mõeldud
Euroopa Liidu liikmesriiki. Märkimisväärse mõju osas vt NIS2 direktiivi artiklit 23 (mis võetakse
üle KüTS §-ga 8) sh ennekõike selle lõikeid 1, 3 ja 11. Siin on ka asjakohased NIS2 direktiivi
põhjenduspunktid 68–73, sh ennekõike põhjenduspunkt 69.
KüTS § 2 punktiga 32 võetakse üle NIS2 direktiivi artikli 6 punkt 8, seostades toimingud ja
menetlused, mille eesmärgiks on küberintsidenti ennetada, tuvastada, analüüsida, ohjata või
lahendada ja sellest taastuda.
KüTS § 2 punktiga 33 võetakse üle NIS2 direktiivi artikli 6 punkt 9, mis defineeritakse, kuna
NIS2 direktiiv näeb ette riskidega seotud teabe vahetamist ja jagamist. Seetõttu on vaja ka selgelt
määratleda, mida riski all mõeldakse ehk teha vastav definitsioon.
60 / 151
KüTS § 2 punktiga 34 võetakse üle NIS2 direktiivi artikli 6 punkt 10, mis defineeritakse, kuna
NIS2 direktiiv näeb ette küberohtudega seotud teabe vahetamist ja jagamist. Seetõttu on vaja ka
selgelt määratleda, mida küberohu all mõeldakse. Kuna küberoht on defineeritud juba
olemasolevas Euroopa Liidu määruses, siis on siin tehtud viide vastavale määrusele. Määruse
2019/881 artikli 2 punkti 8 kohaselt on küberohuks „võimalik asjaolu, sündmus või tegevus, mis
võib kahjustada või häirida võrgu- ja infosüsteeme, nende kasutajaid ja teisi isikuid või neile
muul viisil halba mõju avaldada“.
KüTS § 2 punktiga 35 võetakse üle NIS2 direktiivi artikli 6 punkt 11, mis defineeritakse, kuna
NIS2 direktiiv näeb ette oluliste küberohtudega seotud teabe vahetamist ja jagamist. Siinne
mõiste hõlmab ka mõistet „küberoht“, mis on eelnevalt kommenteeritud punktis sisustatud.
KüTS § 2 punktiga 36 võetakse üle NIS2 direktiivi artikli 6 punkt 15, mis defineeritakse, kuna
NIS2 direktiiv näeb ette nõrkustega seotud teabe vahetamist ja jagamist.
KüTS § 2 punktiga 37 võetakse üle NIS2 direktiivi artikli 6 punkt 12, mis defineeritakse, kuna
NIS2 direktiivis kasutatavad ning KüTSi üle võetavad õigusnormid sisaldavad nimetatud
terminit. Seetõttu on vaja ka selgelt määratleda, mida IKT-toote all mõeldakse. Kuna IKT-toode
on defineeritud juba olemasolevas Euroopa Liidu määruses, siis on siin tehtud viide vastavale
määrusele. Määruse 2019/881 artikli 2 punkti 12 kohaselt on IKT-tooteks „võrgu- või
infosüsteemi element või elementide rühm“.
KüTS § 2 punktiga 38 võetakse üle NIS2 direktiivi artikli 6 punkt 13, mis defineeritakse, kuna
NIS2 direktiivis kasutatavad ning KüTSi üle võetavad õigusnormid sisaldavad nimetatud
terminit. Seetõttu on vaja ka selgelt määratleda, mida IKT-teenuse all mõeldakse. Kuna IKT-
teenus on defineeritud juba olemasolevas Euroopa Liidu määruses, siis on siin tehtud viide
vastavale määrusele. Määruse 2019/881 artikli 2 punkti 13 kohaselt on IKT-teenuseks „teenus,
mis koosneb täielikult või peamiselt võrgu- ja infosüsteemide kaudu teabe edastamisest,
säilitamisest, väljavõtmisest või töötlemisest“.
KüTS § 2 punktiga 39 võetakse üle NIS2 direktiivi artikli 6 punkt 14, mis defineeritakse, kuna
NIS2 direktiivis kasutatavad ning KüTSi üle võetavad õigusnormid sisaldavad nimetatud
terminit. Seetõttu on vaja ka selgelt määratleda, mida IKT-protsessi all mõeldakse. Kuna IKT-
protsess on defineeritud juba olemasolevas Euroopa Liidu määruses, siis on siin tehtud viide
vastavale määrusele. Määruse 2019/881 artikli 2 punkti 13 kohaselt on IKT-protsessiks
„tegevused, mille käigus projekteeritakse või töötatakse välja IKT-toode või -teenus, seda
tarnitakse või hallatakse“.
KüTS § 2 lõike 1 punkt 4 tunnistatakse kehtetuks, kuna siinse punkti sisu viiakse KüTS § 2
punkti 75.
KüTS § 2 punktiga 41 võetakse üle NIS2 direktiivi artikli 6 punkt 18, mis defineeritakse, kuna
see on seotud KüTSi nõuetega hõlmatavate organisatsioonide definitsiooniga.
61 / 151
KüTS § 2 punktiga 42 võetakse üle NIS2 direktiivi artikli 6 punkt 19, mis defineeritakse, kuna
see on järgmise punkti definitsiooni osa.
KüTS § 2 punktiga 43 võetakse üle NIS2 direktiivi artikli 6 punkt 20, mis defineeritakse, kuna
see on seotud KüTSi nõuetega hõlmatavate organisatsioonide definitsiooniga ning seda
definitsiooni kasutatakse NIS2 direktiivist KüTSi üle võetavates õigusnormides. Tegemist on
terminiga, mille hõlmab kahte eri laadi üksust: esimene on üksus, kes osutab interneti
lõppkasutajatele üldsusele kättesaadavat domeeninime rekursiivse teisendamise teenust; ning
teine on üksus, kes osutab kolmandatele isikutele kasutuseks domeeninime autoriteetse
teisendamise teenust, välja arvatud juurnimeserverid.
Kommenteeritava punktiga on seotud ka NIS2 direktiivi põhjenduspunkt 32: „Usaldusväärse,
vastupidava ja turvalise domeeninimede süsteemi (DNS) tagamine ja hoidmine on
võtmetähtsusega, et säilitada interneti usaldusväärsus ning oluline, et tagada selle pidev ja
stabiilne toimimine, millest sõltuvad digimajandus ja -ühiskond. Seepärast tuleks [NIS2
direktiivi] kohaldada tippdomeeninimede registrite ja domeeninimede süsteemi teenuse osutajate
suhtes, mida tuleb käsitada üksustena, mis osutavad interneti lõppkasutajatele mõeldud
üldkasutatavate domeeninimede rekursiivse teisendamise teenust või kolmandatele isikutele
kasutamiseks mõeldud domeeninimede autoriteetse teisendamise teenust. [NIS2 direktiivi] ei
tuleks kohaldada juurnimeserverite suhtes.“
Kommenteeritava punkti definitsioonis on ka märgitud, et tegemist peab olema üldsusele
kättesaadava domeeninime rekursiivse teisendamise teenusega ehk kui näiteks seda teenust pakub
eraisik oma pereliikmele, siis sel juhul pole tegemist üldsusele ehk kõigile soovijatele mõeldud
teenusega.
Domeeninime autoriteetse teisendamise teenust pakutakse kolmandale isikule siis, kui nimetatud
teenust pakutakse füüsilistele või juriidilistele isikutele, kes ei ole see sama teenuse osutaja. See
on näiteks olukorras, kus domeeni autoriteetne nimeserverit ei hallata domeeni registrandi poolt,
vaid seda teenust pakub teine isik, näiteks domeeninimede registreerimise teenuseid osutav üksus
(registripidaja) või DNS majutuse pakkuja (inglise keeles DNS hosting service); millede puhul
viimast peetakse domeeninime autoriteetse teisendamise teenuse pakkujaks kolmandale isikule.
KüTS § 2 punktiga 44 võetakse üle NIS2 direktiivi artikli 6 punkt 21, mis defineeritakse, kuna
see on seotud KüTSi nõuetega hõlmatavate organisatsioonide definitsiooniga ning seda
definitsiooni kasutatakse NIS2 direktiivist KüTSi üle võetavates õigusnormides. Näiteks on
siinne sõnastus hõlmatud järgmises punktis lisanduva mõiste definitsioonis.
Kommenteeritava punkti definitsiooni lauselõpp on „välja arvatud olukorrad, kus
tippdomeeninimesid kasutab register ise ainult enda tarbeks“. Tippdomeeninimede register
kasutab tippdomeeninimesid ainult enda tarbeks siis, kui tippdomeeninime register omab kõiki
registreeringud selles keskkonnas, mis on ennekõike siis, kui toimub ühe registrandi mudeli
(inglise keeles single-registrant model) korral. See toimub näiteks olukorras, kus mõne brändi
tippdomeeninime omab mõni ettevõte ja on samal ajal ka ise selle brändi tippdomeeninime
62 / 151
registri rollis selleks, et mitte lubada kolmandatel osapooltel registreerida brändiga seotud
tippdomeeninime.
KüTS § 2 punktiga 45 võetakse üle NIS2 direktiivi artikli 6 punkt 22, mis defineeritakse, kuna
see on seotud KüTSi nõuetega hõlmatavate organisatsioonide definitsiooniga ning seda
definitsiooni kasutatakse NIS2 direktiivist KüTSi üle võetavates õigusnormides.
Domeeninimede registreerimise teenuseid osutava üksuse puhul tuleb arvestada asjaoluga, et
NIS2 direktiiv ei määratle teda elutähtsa üksuse ega olulise üksusena, mistõttu kohalduvad neile
ainult teatud NIS2 direktiivi nõuded, sh ei ole teda loetletud NIS2 direktiivi I ja II lisas. Erisus on
muidugi olukorras, kus sama üksus osutab teisi teenuseid, mis lähevad NIS2 direktiivi
kohaldamisala alla – nt kui tegemist on ka domeeninimede süsteemi teenuse osutajaga (vt eelnõu
KüTS § 2 punkti 43).
Kommenteeritavas punktis nimetatud üksuste suhtes kohaldatakse ainult NIS2 direktiivi artikli 3
lõikeid 3–5 (vt eelnõu KüTS § 3 lõikeid 3–32 ja 34 ning § 20 lõiget 1, sh nende selgitusi), artiklit
26 (vt eelnõu KüTS § 11, § 2 punkte 74 ja 75 ning § 4, sh nende selgitusi), artiklit 27 (vt eelnõu
KüTS § 2 punkte 74 ja 75 ning § 4, sh nende selgitusi) ja artiklit 28 (siinsed nõuded võeti üle Eesti
Interneti SA nõukogu poolt – vt siinsele seletuskirjale lisatud vastavustabeli selgitusi).
Teoreetiliselt saaks nende üksuste suhtes kohaldada ka NIS2 direktiivi artiklit 36, kuid see
eeldaks eraldi väärteokoosseisu tekitamist olukorraks, kus eelnevalt viidatud nõudeid kohaselt ei
täideta. Kuid kuna samade nõuete täitmise eest ei ole eelnõuga ette nähtud väärteovastutust
elutähtsate üksuste ja oluliste üksuste suhtes, siis siinses eelnõuga ei tekitata vastavat
väärteokoosseisu ka domeeninimede registreerimise teenuseid osutavate üksuste kohta.
KüTS § 2 punktiga 46 võetakse üle NIS2 direktiivi artikli 6 punkt 24, mis defineeritakse, kuna
see on seotud KüTSi nõuetega hõlmatavate organisatsioonide definitsiooniga ning seda
definitsiooni kasutatakse NIS2 direktiivist KüTSi üle võetavates õigusnormides. Euroopa
Parlamendi ja nõukogu määruse (EL) 910/2014 määruse, e-identimise ja e-tehingute jaoks
vajalike usaldusteenuste kohta siseturul ja millega tunnistatakse kehtetuks direktiiv 1999/93/EÜ
(edaspidi määrus 910/2014), artikli 3 punktis 19 on usaldusteenuse osutaja defineeritud kui:
„füüsiline või juriidiline isik, kes osutab üht või mitut usaldusteenust kas kvalifitseeritud või
kvalifitseerimata usaldusteenuse osutajana“. Sama määruse artikli 3 punktis 16 on usaldusteenus
defineeritud kui „elektrooniline teenus, mida tavaliselt osutatakse tasu eest ja mis hõlmab üht
järgmistest:
a) e-allkirja sertifikaatide, e-templi sertifikaatide, veebisaidi autentimise sertifikaatide või muude
usaldusteenuste osutamiseks vajalike sertifikaatide väljastamine;
b) e-allkirja sertifikaatide, e-templi sertifikaatide, veebisaidi autentimise sertifikaatide või muude
usaldusteenuste osutamiseks vajalike sertifikaatide valideerimine;
c) e-allkirjade või e-templite loomine;
d) e-allkirjade või e-templite valideerimine;
63 / 151
e) e-allkirjade, e-templite, e-allkirja sertifikaatide või e-templi sertifikaatide säilitamine;
f) e-allkirja või e-templi kaugloomise vahendite haldamine;
g) elektrooniliste tõendite väljastamine;
h) elektrooniliste tõendite valideerimine;
i) e-ajatemplite loomine;
j) e-ajatemplite valideerimine;
k) registreeritud e-andmevahetusteenuste osutamine;
l) registreeritud e-andmevahetusteenuste kaudu edastatud andmete ja nendega seotud tõendite
valideerimine;
m) elektrooniliste andmete ja e-dokumentide elektrooniline arhiveerimine;
n) elektrooniliste andmete kandmine elektroonilisse arvestusraamatusse“.
2024. a mais jõustusid muudatused, mis laiendasid usaldusteenuse mõistet ehk NIS2 direktiivi
vastu võtmise ajal oli selle mõiste alla hõlmatud vähem elektroonilisi teenuseid. Siinse eelnõuga
ei ole võimalik ka seda definitsiooni kitsendada (ehk sõnastada ainult enne maid 2024. a olevate
usaldusteenustega), kuna vastasel juhul tekib olukord, kus usaldusteenustele osutajatel tekivad
erinevad nõuded küberturvalisuse valdkonnas ehk osadele kehtivad NIS2 direktiivist tulenevad
nõuded ja osadele (2024. a maist lisandunud usaldusteenustele) justkui konkreetseid nõudeid
KüTSi alusel ei kehtiks.
KüTS § 2 punktiga 47 võetakse üle NIS2 direktiivi artikli 6 punkt 26, mis defineeritakse, kuna
see on seotud KüTSi nõuetega hõlmatavate organisatsioonide definitsiooniga ning seda
definitsiooni kasutatakse NIS2 direktiivist KüTSi üle võetavates õigusnormides. Määruse
910/2014 artikli 3 punktis 20 on kvalifitseeritud usaldusteenuse osutajaks „usaldusteenuse
osutaja, kes osutab üht või mitut kvalifitseeritud usaldusteenust ning kellele järelevalveasutus on
andnud kvalifitseeritud staatuse“.
KüTS § 2 punkti 5 muutmine on seotud NIS2 direktiivi artikli 6 punkti 28 üle võtmisega, mis
viitab Euroopa Parlamendi ja nõukogu direktiivi 2005/29/EÜ, mis käsitleb ettevõtja ja tarbija
vaheliste tehingutega seotud ebaausaid kaubandustavasid siseturul ning millega muudetakse
nõukogu direktiivi 84/450/EMÜ, Euroopa Parlamendi ja nõukogu direktiive 97/7/EÜ, 98/27/EÜ
ja 2002/65/EÜ ning Euroopa Parlamendi ja nõukogu määrust (EÜ) nr 2006/2004 (edaspidi
direktiiv 2005/29/EÜ), artikli 2 punktis n määratletud internetipõhine kauplemiskohale. Direktiivi
2005/29/EÜ artikli 2 punktis n on internetipõhiseks kauplemiskohaks „teenus, mis võimaldab
tarbijatel sõlmida teiste ettevõtjate või tarbijatega kauglepinguid, kasutades selleks tarkvara,
sealhulgas veebisaiti, veebisaidi osa või rakendust, mida käitab ettevõtja või mida käitatakse
ettevõtja nimel“. Tarbijakaitseseaduse § 2 punkti 7 kohaselt on internetipõhine kauplemiskohaks
„kauplemiskoht, kus tarbija saab sõlmida teise kaupleja või tarbijaga lepinguid sidevahendi abil,
64 / 151
kasutades selleks tarkvara, sealhulgas veebilehte, veebilehe osa või rakendust, mida käitab
kaupleja või mida käitatakse kaupleja nimel“.
Direktiivi 2005/29/EÜ artikli 2 punktis a on tarbijaks „füüsiline isik, kes [direktiiviga
2005/29/EÜ] hõlmatud kaubandustavade raames tegutseb eesmärkidel, mis ei ole seotud tema
kaubandus-, majandus-, käsitöö- ega kutsetegevusega“. Tarbijakaitseseaduse § 2 punktis 1 on
tarbijaks „füüsiline isik, kes tegutseb eesmärgil, mis ei ole seotud tema majandus- või
kutsetegevusega“.
Direktiivi 2005/29/EÜ artikli 2 punktis b on ettevõtjaks „füüsiline või juriidiline isik, kes
[direktiiviga 2005/29/EÜ] hõlmatud kaubandustavade raames tegutseb eesmärkidel, mis on
seotud tema kaubandus-, majandus-, käsitöö- või kutsetegevusega, ning ettevõtja nimel või
huvides tegutsev isik“. Tarbijakaitseseaduse § 2 punktis 2 on kauplejaks „füüsiline või juriidiline
isik, sealhulgas avalik-õiguslik juriidiline isik, kes tegutseb eesmärgil, mis on seotud tema
majandus- või kutsetegevusega“.
Direktiivi 2005/29/EÜ artikli 2 punktis n määratletud internetipõhine kauplemiskoha definitsioon
on sisult sama, mis on tarbijakaitseseaduse § 2 punktis 7 olev internetipõhise kauplemiskoha
definitsioon, mistõttu on kommenteeritavas punktis viide vastavale tarbijakaitseseaduse terminile.
KüTS § 2 punktiga 6 seotud muudatused on seotud NIS2 direktiivi artikli 6 punkti 29 üle
võtmisega, mis viitab Euroopa Parlamendi ja nõukogu määruse (EL) 2019/1150, mis käsitleb
õigluse ja läbipaistvuse edendamist veebipõhiste vahendusteenuste ärikasutajate jaoks (edaspidi
määrus 2019/1150), artikli 2 punktis 5 määratletud internetipõhisele otsingumootorile. NIS2
direktiivi eestikeelne tõlge märgib, et tegemist on direktiiviga, kuid tegelikkuses on tegemist
määrusega. Seetõttu on ka eelnõus tehtud viide määrusele, mitte direktiivile. Määruse 2019/1150
artikli 2 punktis 5 on internetipõhine otsingumootoriks „digitaalne teenus, mis võimaldab
kasutajatel sisestada päringuid, et teha otsinguid üldjuhul kõikidel veebisaitidel või teatavas
keeles kõikidel veebisaitidel mis tahes teemal võtmesõna, häälkäskluse, fraasi või muu sisendi
vormis tehtud päringu alusel, ning saadab vastuseks mis tahes vormingus tulemused, kust võib
leida teavet taotletud sisu kohta“.
Eelnõu koostajad märgivad, et määruse 2019/1150 artikli 2 punktis 5 ei ole sõnastatud terminiks
eestikeelses versioonis „internetipõhine otsingumootor“, vaid „veebipõhine otsingumootor“.
Seetõttu on kommenteeritavas punktis defineeritava termini sõnastuses ja selle definitsioonis (ehk
määruse 2019/1150 viites) kasutatud mõistet „veebipõhine otsingumootor“. Samalaadset
sõnastust on kasutatud näiteks ka tarbijakaitseseaduse § 17 lõikes 22, kus on kasutatud mõistet
„veebipõhiste otsingumootorite pakkujad“.
KüTS § 2 punktiga 7 seotud muudatused on seotud NIS2 direktiivi artikli 6 punkti 30 üle
võtmisega ehk kehtiva termini sõnastuse täpsustamine võrreldes NIS2 direktiivis sõnastatud
terminiga. Kommenteeritava punktiga on seotud ka NIS2 direktiivi põhjenduspunktid 33 ja 34:
„(33) Pilvandmetöötlusteenused peaksid hõlmama digiteenuseid, mis võimaldavad jagatavate
andmetöötlusressursside skaleeritava ja paindliku kogumi nõudepõhist haldamist ning
65 / 151
ulatuslikku kaugpääsu sellele kogumile, muu hulgas juhul, kui need ressursid paiknevad
hajutatult erinevates kohtades. Andmetöötlusressursid on näiteks võrgud, serverid ja muu taristu,
operatsioonisüsteemid, tarkvara, talletusruum, rakendused ja teenused. Pilvandmetöötluse
teenusemudelid hõlmavad muu hulgas taristut teenusena (IaaS), platvormi teenusena (PaaS),
tarkvara teenusena (SaaS) ja võrku teenusena (NaaS). Pilvandmetöötluse korraldusmudelid
peaksid hõlmama privaat-, ühis-, avalikku ja hübriidpilve. Mõistetel „pilvandmetöötlusteenus“ ja
„korraldusmudel“ on sama tähendus nagu nimetatud mõistetel standardi ISO/IEC 17788:2014
määratluses. Pilvandmetöötlusteenuse kasutaja võimekust tagada endale ühepoolselt
andmetöötlusvõimekus, nagu serveriaeg või võrgu talletusruum, ilma pilvandmetöötlusteenuse
osutaja inimesepoolse sekkumiseta, võiks nimetada nõudepõhiseks haldamiseks.
Mõistega „ulatuslik kaugpääs“ peetakse silmas seda, et pilvevõimalusi pakutakse võrgu kaudu ja
need on kättesaadavad mehhanismide kaudu (sealhulgas mobiiltelefonid, tahvelarvutid,
sülearvutid ja tööjaamad), mis toetavad heterogeensete nn kõhnade või paksude
kliendiplatvormide kasutamist. Mõiste „skaleeritav“ osutab andmetöötlusressurssidele, mis on
nõudluse kõikumisega toimetulekuks pilveteenuse osutaja poolt paindlikult jaotatavad olenemata
ressursside geograafilisest asukohast. Mõistet „paindlik kogum“ kasutatakse
andmetöötlusressursside kirjeldamiseks, mida pakutakse ja mis tehakse kättesaadavaks vastavalt
nõudlusele, et kättesaadavaid ressursse suurendada või vähendada sõltuvalt töökoormusest.
Mõistet „jagatav“ kasutatakse selliste andmetöötlusressursside kirjeldamiseks, mida pakutakse
paljudele kasutajatele, kellel on ühine juurdepääs teenusele, kuid mille puhul andmete töötlemine
toimub iga kasutaja jaoks eraldi, olgugi et teenust osutatakse samadest elektroonilistest
seadmetest. Mõistet „hajusad“ kasutatakse selliste andmetöötlusressursside kirjeldamiseks, mis
asuvad erinevates võrguga ühendatud arvutites või seadmetes ning mis suhtlevad omavahel ja
kooskõlastavad omavahelist tegevust sõnumite edastamise teel.
(34) Kuna maad võtavad uuenduslikud tehnoloogiad ja ärimudelid, tulevad eeldatavasti tarbijate
muutuvate vajaduste järgi siseturule uued pilvandmetöötlusteenuse ja korraldusmudelid. Sellises
kontekstis võib pilvandmetöötlusteenuseid osutada väga hajusal kujul, mille puhul töötlus toimub
andmete loomise või kogumise kohale veelgi lähemal; seega liikudes nn traditsiooniliselt mudelilt
väga hajusale mudelile (servtöötlus).“
KüTS § 2 punktiga 71 võetakse üle NIS2 direktiivi artikli 6 punkt 31. Kommenteeritava
punktiga on seotud NIS2 direktiivi põhjenduspunkt 35: „(35) Andmekeskusteenuse osutajate
pakutavaid teenuseid ei pakuta alati tingimata pilvandmetöötlusteenusena. Seega ei pruugi
andmekeskused alati olla pilvandmetöötlustaristu osa. Kõigi võrgu- ja infosüsteemide
turvalisusega seotud riskide juhtimiseks peaks seetõttu [NIS2 direktiivi] kohaldamisalasse
kuuluma ka selliste andmekeskusteenuste pakkujad, mis ei ole pilvandmetöötlusteenused. [NIS2
direktiivi] kohaldamisel peaks mõiste „andmekeskusteenus“ kätkema sellise teenuse osutamist,
mis hõlmab struktuure või struktuuride rühmi, mis on ette nähtud andmete talletamiseks,
töötlemiseks ja edastamiseks kasutatava infotehnoloogia- (IT) ja võrguseadmete keskseks
majutamiseks, omavahel sidumiseks ja käitamiseks, võttes arvesse ka energiajaotuse ja
keskkonnajuhtimisega seotud rajatisi ja taristuid. Mõiste „andmekeskusteenus“ ei tohiks hõlmata
66 / 151
asutusesiseseid andmekeskusi, mis kuuluvad asjaomasele üksusele ja mida käitatakse üksuse
enda tarbeks.“
KüTS § 2 punktiga 72 võetakse üle NIS2 direktiivi artikli 6 punkt 32 (sisulevivõrk).
Kommenteeritava mõiste puhul on NIS2 direktiivi definitsioonis kasutatud sõna „digiteenus“,
kuid siinses eelnõus on kasutatud selle asemel sõnu „infoühiskonna teenus“, et oleks seos
infoühiskonna teenuse mõiste ja olemusega, mis on defineeritud infoühiskonna teenuste seaduse
§ 2 punktis 1 kui: „teenus, mida osutatakse majandus- või kutsetegevuse raames teenuse kasutaja
otsesel taotlusel ja mille puhul andmeid töödeldakse, säilitatakse ja edastatakse digitaalkujul
andmete töötlemiseks ja säilitamiseks mõeldud elektrooniliste vahendite abil, kusjuures
osapooled ei viibi üheaegselt samas kohas. Infoühiskonna teenus peab olema täielikult üle
kantud, edastatud ja vastu võetud elektrooniliste sidevahendite abil. Infoühiskonna teenus ei ole
faksi ega telefonikõne abil edastatud teenus ega televisiooni- või raadioteenus“. Siinses
definitsioonis on digisisu osas mõeldud kogu digiandmeid (inglise keeles digital data), nii
staatilist kui ka dünaamiliselt vahetatavaid andmeid.
KüTS § 2 punktiga 73 võetakse üle NIS2 direktiivi artikli 6 punkt 33 (sotsiaalvõrguteenuse
platvorm).
KüTS § 2 punktiga 74 tekitatakse lühend „digitaalse teenuse osutaja“, mis hõlmab mitut üksust.
Nimetatud lühend on tekitatud ennekõike seetõttu, et ülejäänud eelnõu tekstis puuduks vajadus
uuesti nimetada kõiki neid üksusi, mis on selle lühendiga hõlmatud. Selle asemel saabki kasutada
kommenteeritava punktiga tekitatavat lühendit.
KüTS § 2 punktiga 75 on eelnõus seotud sama paragrahvi punktiga 74 ehk tegemist on selles
nimetatud üksuse esindajaga. Kommenteeritava punktiga võetakse üle NIS2 direktiivi artikli 6
punkt 34. Kommenteeritava punkti definitsioonis on viide ainult Riigi Infosüsteemi Ametile
seetõttu, et sellele ametile antakse küberturbe intsidentide lahendamise üksuse ehk CSIRTi
ülesanded. Digitaalse teenuse osutaja kohustuste puhul on mõeldud neid kohustusi, mis tulevad
NIS2 direktiivi tulemusena ennekõike KüTSist, kuid olenevalt olukorrast ka NIS2 direktiivi
alusel Euroopa Komisjoni antud rakendusaktidest.
KüTS § 2 punktiga 9 võetakse üle NIS2 direktiivi artikli 6 punkt 39, mis viitab Euroopa
Parlamendi ja nõukogu direktiivi (EL) 2018/1972, millega kehtestatakse Euroopa elektroonilise
side seadustik (edaspidi direktiiv 2018/1972), artikli 2 punktis 8 määratletud üldkasutatavale
elektroonilise side võrgule. Direktiivi 2018/1972 artikli 2 punktis 8 on üldkasutatav elektroonilise
side võrk defineeritud kui „elektroonilise side võrk, mida kasutatakse ainult või peamiselt
avalikult kättesaadavate elektroonilise side teenuste pakkumiseks ning mis toetab teabe
edastamist võrgu lõpp-punktide vahel“.
Direktiivi 2018/1972 artikli 2 punktis 1 on elektroonilise side võrk defineeritud kui
„ülekandesüsteemid, mis võivad, aga ei pruugi põhineda püsitaristul või kesksel juhtimisel, ja
vajaduse korral lülitus- ja marsruutimisseadmed ning muud vahendid, sealhulgas
võrguelemendid, mis ei ole aktiivsed, mis võimaldavad edastada signaale kaabli kaudu, raadio
67 / 151
teel, optiliselt või muude elektromagnetiliste vahendite abil, kasutades sealhulgas satelliitvõrke,
püsivõrke (ahel- ja pakettkommuteeritud võrgud, k.a internet) ja mobiilsidevõrke,
elektrikaabelsüsteeme, kui neid kasutatakse signaalide edastamiseks, raadio- ja
teleringhäälinguvõrke ja kaabeltelevisioonivõrke, olenemata sellest, millist teavet nende kaudu
edastatakse“. Elektroonilise side seaduse § 2 punktis 8 on elektroonilise side võrk defineeritud
kui: „ülekandesüsteem koos selle tööks vajalike lülitusseadmete ning muude tugisüsteemidega,
mis võimaldab signaalide edastamist ja suunamist kaabli kaudu, samuti raadio, optiliste või
muude elektromagnetiliste vahenditega. Muu hulgas on elektroonilise side võrkudeks, sõltumata
nende kaudu edastatava informatsiooni iseloomust, satelliitvõrk, telefonivõrk, andmesidevõrk,
mobiiltelefonivõrk, ringhäälinguvõrk, kaabellevivõrk ja elektrikaablisüsteem, kui seda
kasutatakse signaalide edastamiseks või suunamiseks.“
Elektroonilise side seaduse § 2 punkti 71 kohaselt on üldkasutatav elektroonilise side võrk
defineeritud kui „võrk, mille kaudu osutatakse üldkasutatavat elektroonilise side teenust, mis
võimaldab teabe edastamist elektroonilise side võrgu lõpp-punktide vahel“. Seetõttu on
kommenteeritavas punktis tehtud viide elektroonilise side seaduse vastavale terminile.
KüTS § 2 punktiga 10 võetakse üle NIS2 direktiivi artikli 6 punkt 37, mis viitab direktiivi
2018/1972 artikli 2 punktis 4 määratletud elektroonilise side teenusele. Direktiivi 2018/1972
artikli 2 punktis 4 on elektroonilise side teenus defineeritud kui „elektroonilise side võrkude
kaudu tavaliselt tasu eest osutatav teenus, välja arvatud teenused, millega osutatakse või mille
abil teostatakse elektroonilise side võrkude ja teenuste abil edastatava sisu redigeerimist, mis
hõlmab järgmist tüüpi teenuseid:
a) määruse (EL) 2015/2120 artikli 2 teise lõigu punktis 2 määratletud internetiühenduse teenus;
b) isikutevahelise side teenus;
c) teenused, mis seisnevad tervikuna või peamiselt signaalide edastamises, näiteks
masinatevaheliste teenuste pakkumiseks ja ringhäälingu jaoks kasutatavad ülekandeteenused.“
Elektroonilise side seaduse § 2 punkti 68 kohaselt on üldkasutatav elektroonilise side teenus
defineeritud kui „teenus, mida sideettevõtja pakub vastaval sideteenuse turul üldistel alustel
kõikidele isikutele, ilma et isikud peaksid vastama mingitele neid teistest sarnastest isikutest
eristavatele tunnustele. Teenus on üldkasutatav eelkõige siis, kui selle osutamine on kestev ja
järjepidev ning seda pakutakse sisuliselt ühesugustel tingimustel“. Seetõttu on kommenteeritavas
punktis tehtud viide elektroonilise side seaduse vastavale terminile.
KüTS § 2 punktiga 11 võetakse üle NIS2 direktiivi artikli 6 punkt 39 (hallatud teenuse osutaja).
See hõlmab näiteks hallatud teenuse osutaja kliendi sidevõrkude haldamist, sh viitab ka
tegevustele, mida tehakse selle kliendi ruumides. Definitsioonis olevad tegevused on
alternatiivsed ehk hallatud teenuse osutaja ei pea kõiki definitsioonis olevaid teenuseid pakkuma.
KüTS § 2 punktiga 12 võetakse üle NIS2 direktiivi artikli 6 punkt 40 (turbetarnija), mis kasutab
enda definitsioonis KüTS § 2 punktis 11 olevat terminit „hallatud teenuste osutaja“. Eelnõus on
68 / 151
siin kasutatud turbetarnija asemel sõnastust „hallatud turbeteenuste osutaja“, kuna eelnõuga
pakutav sõnastus on tõlke mõttes selgem mõiste kui turbetarnija. Eelnõu koostamisel on olnud
arutelu Euroopa Liidu jurist-lingvistidega, et NIS2 direktiivi vastava mõiste sõnastust parandada
ehk asendada sõna „turbetarnija“ sõnadega „hallatud teenuste osutaja“. Vastav sõnastus on sama,
mis on kübersolidaarsuse määruse eelnõu tekstis39 olev sõnastus ehk „hallatud turbeteenuste
osutaja“, mis omakorda viitab selle defineerimisel ka eelmainitud NIS2 direktiivi sättele.
Kommenteeritavas punktis olev üksuse osutatavateks teenusteks võivad olla seotud näiteks
eelnõuga KüTS § 7 lõikes 2 sätestatud nõuete täitmisega – näiteks võib ta pakkuda
küberintsidendi haldamise või lahendamise teenust, kui vastav küberintsident leiab aset.
KüTS § 2 punktiga 13 võetakse üle NIS2 direktiivi artikli 6 punkt 41 (teadusasutus).
Kommenteeritava punktiga on seotud NIS2 direktiivi põhjenduspunkt 36:
„(36) Teadusuuringutel on uute toodete ja protsesside väljatöötamisel võtmeroll. Paljusid neist
tegevustest viivad ellu üksused, mis jagavad, levitavad või kasutavad oma teadusuuringute
tulemusi ärilistel eesmärkidel. Need üksused võivad seega olla olulised osalejad väärtusahelates,
mis muudab nende võrgu- ja infosüsteemide turvalisuse siseturu üldise küberturvalisuse
lahutamatuks osaks. Teadusorganisatsioone tuleks käsitada nii, et need hõlmavad üksusi, mis
pühendavad olulise osa oma tegevusest rakendusuuringutele või tootearendusele
Majanduskoostöö ja Arengu Organisatsiooni 2015. aasta Frascati käsiraamatu „Guidelines for
Collecting and Reporting Data on Research and Experimental Development, with a view to
exploiting their results for commercial purposes, such as the manufacturing and marketing of a
product, process or the provision of a service“ („Teadus- ja arendustegevuse andmete kogumise
ja esitamise suunised, et kasutada nende tulemusi ärilistel eesmärkidel, näiteks toote, protsessi
või teenuse tootmiseks või turustamiseks“) tähenduses.“
KüTS § 3 lõike 1 kehtetuks tunnistamine on seotud teiste muudatustega, mis on tehakse samas
paragrahvis. Kuigi kommenteeritav lõige tunnistatakse kehtetuks, siis selle sisu on viidud
ennekõike KüTS § 1, sh saavad osad kehtiva KüTS § 3 lõikes 1 olevad organisatsioonid elutähtsa
teenuse osutajateks. See omakorda tähendab, et elutähtsa teenuse osutajatele kehtivad
(üldreeglina) KüTSist tulenevad nõuded tervikuna - erisused on siis, kui tegemist on kavandatava
KüTS § 1 lõikes 4 ja lõike 41 alusel antud määruses sätestatud olukordadega.
KüTS § 3 lõike 11 eesmärk on NIS2-s olevate üksuste liikide seostamine kehtiva KüTSi
sõnastuse kasutamisega ehk sõnadega „teenuse osutaja“. Kui KüTSis või selle alusel antud
määruses on kasutatud sõnu „teenuse osutaja“, siis tolles sättes olev sisu või nõue kehtib nii
elutähtsale üksusele kui ka olulisele üksusele. Nende kahe üksuse liigi vahe on ennekõike seotud
järelevalve meetmete ja -režiimi temaatika (vt KüTSi 4. peatükki ja selles tehtavaid muudatusi)
kui ka KüTSi nõuete rikkumiste korral nende üksuste suhtes ette nähtavate väärteokaristuste
suurused (vt KüTSi 5. peatükki ja selles tehtavaid muudatusi).
Kommenteeritava punktiga on seotud ka NIS2 direktiivi põhjenduspunkt 15:
39 https://www.europarl.europa.eu/doceo/document/TA-9-2024-0355_ET.html.
69 / 151
„(15) Küberturvalisuse riskijuhtimismeetmete järgimiseks ja teatamiskohustuse täitmiseks tuleks
[NIS2 direktiivi] kohaldamisalasse kuuluvad üksused liigitada kahte kategooriasse – elutähtsad
üksused ja olulised üksused, mis näitab, mil määral on nad kriitilise tähtsusega nende sektori või
osutatavate teenuste liigi, aga ka oma suuruse seisukohast. Sellega seoses tuleks igakülgselt
arvesse võtta kõiki asjakohaseid valdkondlikke riskihindamisi või pädevate asutuste suuniseid,
kui see on kohaldatav. Nende kahe üksuseliigi järelevalve- ja täitmise tagamise kord peaks olema
erinev, et tagada õiglane tasakaal kohaldatavate riskipõhiste nõuete ja kohustuste ning nõuete
täitmise järelevalvega seotud halduskoormuse vahel.“
Domeeninimede registreerimise teenust osutava üksuse puhul tuleb arvestada asjaoluga, et NIS2
direktiiv ei määratle teda elutähtsa üksuse ega olulise üksusena, mistõttu kohalduvad neile ainult
teatud NIS2 direktiivi nõuded. Siin vt eelnõu KüTS § 2 punkti 45 selgitusi.
KüTS § 3 lõike 12 eesmärk on määratleda NIS2 direktiivi artikli 3 lõike 1 kohaselt need üksused,
kes saavad elutähtsaks üksuseks. Eelnõus kasutatakse mõisteid või sõnu nagu „elutähtis üksus“
(kasutatakse eelnõu tulemusena KüTSis) ja „elutähtsa teenuse osutaja“ (defineeritud
hädaolukorra seaduses), kuid neid ei saa alati samastada. Kõik elutähtsa teenuse osutajad on
automaatselt elutähtsad üksused, kuid kõik elutähtsad üksused ei ole automaatselt elutähtsa
teenuse osutajad.
KüTS § 3 lg 12 punktiga 1 võetakse üle NIS2 direktiivi artikli 3 lõike 1 punkt b, konkreetsemalt
lauseosa „kvalifitseeritud usaldusteenuse osutajad“. Kommenteeritavas punktis ei ole lauseosa
„olenemata nende suurusest“, kuna NIS2 artikli 2 lõike 2 punkti a alapunkti ii) (võetakse üle
eelnõuga KüTS § 1 lg 13 punktiga 3) kohaselt on usaldusteenuse osutajad hõlmatud NIS2
direktiivi alla olenemata nende suurusest. Usaldusteenuse osutaja mõiste hõlmab ka
kvalifitseeritud usaldusteenuse osutajat (vt NIS2 artikli 6 punkti 27 ja seda üle võtvat KüTS § 2
punkti 47).
KüTS § 3 lg 12 punktiga 2 võetakse üle NIS2 direktiivi artikli 3 lõike 1 punkt b, konkreetsemalt
lauseosa „tippdomeeninimede registrid“. Kommenteeritavas punktis ei ole lauseosa „olenemata
nende suurusest“, kuna NIS2 artikli 2 lõike 2 punkti a alapunkti iii) (võetakse üle KüTS § 1 lg 13
punktiga 4) kohaselt on tippdomeeninimede registrite pidajad hõlmatud NIS2 direktiivi alla
olenemata nende suurusest.
KüTS § 3 lg 12 punktiga 3 võetakse üle NIS2 direktiivi artikli 3 lõike 1 punkt b, konkreetsemalt
lauseosa „domeeninimede süsteemi teenuse osutajad“. Kommenteeritavas punktis ei ole lauseosa
„olenemata nende suurusest“, kuna NIS2 artikli 2 lõike 2 punkti a alapunkti iii) (võetakse üle
KüTS § 1 lg 13 punktiga 6) kohaselt on domeeninimede süsteemi teenuse osutajad hõlmatud
NIS2 direktiivi alla olenemata nende suurusest.
KüTS § 3 lg 12 punktiga 4 võetakse üle NIS2 direktiivi artikli 3 lõike 1 punkt d (keskvalitsuse
avaliku halduse üksus).
KüTS § 3 lg 12 punktiga 5 määratakse kohaliku tasandi avaliku halduse üksus elutähtsaks
üksuseks, arvestades NIS2 direktiivi artikli 3 lõike 1 punkti g (kui liikmesriigid nii ette näevad,
70 / 151
siis üksused, mida liikmesriigid käsitasid enne 16. jaanuari 2023 oluliste teenuste operaatoritena
vastavalt [...] liikmesriigi õigusele). Kommenteeritava punkti eesmärk on säilitada olukord, kus
kohaliku tasandi avaliku halduse üksused oleksid elutähtsa üksusele omase eel-kontrolli laadse
järelevalve mehhanismi alla. Vt siin ka KüTS § 1 lg 15 punkti 1 ning § 2 punkti 13 kohta esitatud
selgitust.
KüTS § 3 lg 12 punktiga 6 võetakse üle NIS2 direktiivi artikli 3 lõike 1 punkt f (elutähtsa
teenuse osutaja).
KüTS § 3 lg 12 punktiga 7 määratakse kriitilise tähtsusega side-, mereraadioside ja
operatiivraadiosidevõrgu teenuse osutaja elutähtsaks üksuseks, arvestades NIS2 direktiivi artikli
3 lõike 1 punkti g (kui liikmesriigid nii ette näevad, siis üksused, mida liikmesriigid käsitasid
enne 16. jaanuari 2023 oluliste teenuste operaatoritena vastavalt [...] liikmesriigi õigusele).
KüTS § 3 lg 12 punktiga 8 määratakse riigi tegevusvaru haldaja elutähtsaks üksuseks, arvestades
NIS2 direktiivi artikli 3 lõike 1 punkti e. Siin vt ka eelnõu KüTS § 1 lg 15 punkti 3 kohta esitatud
selgitust.
KüTS § 3 lg 12 punktiga 9 võetakse üle NIS2 direktiivi artikli 3 lõike 1 punkt c.
Kommenteeritava punkti kohaselt hõlmatakse siin üksus, kes vastab kõigile järgmistele
tingimustele (arvestades keskmise suurusega ettevõtja määratlust Euroopa Komisjoni soovituses
2003/361/EÜ):
1) ta on üldkasutatava elektroonilise side võrgu või üldkasutatava elektroonilise side teenuse
pakkuja;
2) tal on majandusaasta jooksul keskmiselt 50 või rohkem töötajat;
3) tema aasta bilansimaht või aastakäive ületab 10 miljonit eurot (sh kas bilansimaht või
aastakäive on sellest summast suurem).
Kommenteeritava punktiga seonduvalt vt ka eelnõus KüTS § 1 lg 11 selgitust.
KüTS § 3 lg 12 punktiga 10 võetakse üle NIS2 direktiivi artikli 3 lõike 1 punkt a. Selle punkti
alusel on tegemist elutähtsa üksusega, kui kõik järgnevad tingimused on täidetud ehk et tegemist
on üksusega (arvestades keskmise suurusega ettevõtja määratlust Euroopa Komisjoni soovituses
2003/361/EÜ):
1) kellel on majandusaasta jooksul keskmiselt 250 või rohkem töötajat;
2) kelle aasta bilansimaht ületab 50 miljonit eurot või aastakäive ületab 43 miljonit eurot (sh kas
bilansimaht või aastakäive on nimetatud summadest suurem);
3) kes on osutatud KüTS § 1 lõikes 12 ehk tegemist on ühe vähemalt ühe üksusega selles lõikes
viidatud 51 punkti seas.
Kommenteeritava punktiga seonduvalt vt ka eelnõus KüTS § 1 lg 11 selgitust.
71 / 151
KüTS § 3 lõikega 13 võetakse üle NIS2 direktiivi artikli 3 lõige 2. Siinse lõike sõnastamisel
lähtuti eeldusest, et KüTSi mõistes teenuse osutajad on kas elutähtsad üksused või olulised
üksused. Seetõttu on siinse lõike punktides sätestatud need üksused, kes ei ole elutähtsad
üksused, sh on need ka eelnõuga ära nimetatud õigusselguse jaoks. Kommenteeritav NIS2
direktiivi artikli lõige ise ei anna rohkem selgust, et kes on olulised üksused.
KüTS § 3 lg 13 punktiga 1 tehakse seos NIS2 direktiivi artikli 3 lõike 1 punktiga c ehk
kommenteeritava punktiga hõlmatakse need üldkasutatava elektroonilise side võrgu ja
üldkasutatava elektroonilise side teenuse pakkujad, kes pole elutähtsad üksused - viimati
nimetatute osas vt eelnõus KüTS § 3 lg 12 punkti 9 ja selle selgitust. Siin tuleb ka arvestada
asjaoluga, et NIS2 direktiiv näeb ette, et üldkasutatava elektroonilise side võrgu ja üldkasutatava
elektroonilise side teenuse pakkujad on hõlmatud NIS2 direktiivi alla olenemata nende suurusest
ehk kõik vastavaid teenuseid osutavad üksused on hõlmatud.
Sisuliselt on siinse punkti tulemusel hõlmatud oluliste üksuste hulka need üldkasutatava
elektroonilise side võrgu ja üldkasutatava elektroonilise side teenuse pakkujad, kes vastavad
ühele kolmest järgnevale alternatiivsele variandile (arvestades keskmise suurusega ettevõtja
määratlust Euroopa Komisjoni soovituses 2003/361/EÜ):
variant 1: konkreetsel üksusel on (mõlemad tingimused on täidetud):
1.1. majandusaasta jooksul keskmiselt 49 või vähem töötajat;
1.2. aasta bilansimaht või aastakäive alla 10 miljonit eurot (sh nii bilansimaht kui ka aastakäibe
suurus on nimetatud summast väiksem).
variant 2: konkreetsel üksusel on (mõlemad tingimused on täidetud):
2.1. majandusaasta jooksul keskmiselt 50 või rohkem töötajat;
2.2. aasta bilansimaht või aastakäive alla 10 miljonit eurot (sh nii bilansimaht kui ka aastakäibe
suurus on nimetatud summast väiksem).
variant 3: konkreetsel üksusel on (mõlemad tingimused on täidetud):
3.1. majandusaasta jooksul keskmiselt 49 või vähem töötajat;
3.2. aasta bilansimaht või aastakäive ületab 10 miljonit eurot (sh kas bilansimaht või aastakäive
on sellest summast suurem).
KüTS § 3 lg 13 punktiga 2 tehakse seos eelnõu KüTS § 1 lg 13 punktiga 3, kuid siin on
sõnastuse puhul arvestatud NIS2 direktiivi artikli 3 lõike 1 punkti b (mis võetakse üle eelnõu
KüTS § 3 lg 12 punktiga 1). NIS2 direktiiv hõlmab enda alla usaldusteenuse osutajad, kelleks on
definitsiooni (vt eelnõu KüTS § 2 punkti 46 ja selles viidatud määruse punkti sisu ja siinse
seletuskirja selgitust) kohaselt hõlmatud ka kvalifitseeritud teenuse osutajad (definitsiooni osas vt
eelnõu KüTS § 2 punkti 47 ja selles viidatud määruse punkti sisu ja siinse seletuskirja selgitust)
kui ka kvalifitseerimata usaldusteenuse osutajaid, kuid NIS2 direktiivi vastava artikli viites
72 / 151
viidatud määruses paraku ei defineerita, kes on kvalifitseerimata usaldusteenuse osutaja. Seetõttu
on kommenteeritav punkt sõnastatud välistusena ehk siinse punktiga on hõlmatud need
usaldusteenuse osutajad, kes ei ole elutähtsad üksused.
KüTS § 3 lg 13 punktiga 3 tehakse seos eelnõu KüTS § 1 lg 15 punktiga 9. KüTSi kehtiva
versiooni § 3 lg 1 p 7 hõlmab KüTSi alla kõik tervishoiuteenuste korraldamise seaduses
sätestatud perearstiabi osutajad perearstiabi osutamisel. Kuid hädaolukorra seaduses tehtavate
muudatuste tulemusena hakkavad osad perearstiabi osutajad olema elutähtsa teenuse osutajad,
mistõttu kehtiva õiguse säilitamise jaoks on vaja selgelt määratleda KüTSis ka need perearstiabi
osutajad, kes ei saa elutähtsa teenuse osutajateks. Vt siin ka eelnõus KüTS § 1 lg 15 punkti 9
selgitust.
KüTS § 3 lg 13 punktiga 4 tehakse seos eelnõu KüTS § 1 lg 15 punktiga 5 (selle sisu osas vaata
tolle punkti selgitust).
KüTS § 3 lg 13 punktiga 5 tehakse seos eelnõu KüTS § 1 lg 15 punktiga 6 (selle sisu osas vaata
tolle punkti selgitust).
KüTS § 3 lg 13 punktiga 6 tehakse seos eelnõu KüTS § 1 lg 15 punktiga 7 (selle sisu osas vaata
tolle punkti selgitust).
KüTS § 3 lg 13 punktiga 7 tehakse seos eelnõu KüTS § 1 lg 15 punktiga 8 (selle sisu osas vaata
tolle punkti selgitust).
KüTS § 3 lg 13 punktiga 8 tehakse seos eelnõu KüTS § 1 lg 15 punktiga 10 (selle sisu osas vaata
tolle punkti selgitust).
KüTS § 3 lg 13 punktiga 9 tehakse seos eelnõu KüTS § 1 lg 15 punktiga 2 (selle sisu osas vaata
tolle punkti selgitust).
KüTS § 3 lg 13 punkt 10 on seotud eelnõu KüTS § 3 lg 12 punktiga 10 ehk nende üksustega,
keda ei hõlmata elutähtsateks üksusteks KüTS § 3 lg 12 punktiga 10 alusel. Kommenteeritava
punkti puhul tuleb arvestada, et siinse punktiga seotud üksustel on teatavad miinimumlävendid
nii töötajate arvu kui ka bilansimahu ning aastakäibe osas, mis peavad olema täidetud ehk vt siin
ka eelnõu KüTS § 1 lg 11 selgitust.
Sisuliselt on kommenteeritava punkti tulemusel hõlmatud oluliste üksuste hulka üksus, kes vastab
kõigile järgmistele tingimustele (arvestades keskmise suurusega ettevõtja määratlust Euroopa
Komisjoni soovituses 2003/361/EÜ):
a) tal on majandusaasta jooksul keskmiselt 50 või rohkem töötajat;
b) tema aasta bilansimaht on 10-50 miljoni eurot ning tema aastakäive on 10-43 miljonit eurot (sh
nii bilansimaht kui ka aastakäibe suurus on nimetatud summade piirides);
c) ta on osutatud KüTS § 1 lõikes 12 ehk tegemist on ühe vähemalt ühe üksusega selles lõikes
viidatud 51 punkti seas.
73 / 151
KüTS § 3 lg 14 on seotud eelnõu KüTS § 1 lõike 16 alusel antava määrusega ehk et kui tolle
volitusnormi alusel kehtestatakse määrus, siis tuleb tolles määruses paika panna, kas lisanduv
üksus on elutähtis üksus või oluline üksus.
KüTS § 3 lõige 2 tunnistatakse kehtetuks, kuna see sisaldab viidet NIS2 direktiiviga kehtetuks
tunnistatavale direktiivile 2016/1148 ning kuna NIS2 direktiiv ei sisalda sõnastust „olulise
teenuse operaator“.
KüTS § 3 lõike 3 muudatusega võetakse üle NIS2 direktiivi artikli 3 lõige 3. Siinses lõikes
asendatakse viide direktiivilt 2016/1148 NIS2 direktiivile ehk ülesande sisu on tuvastada need
teenuse osutajad, kes on otsesõnu hõlmatud NIS2 direktiivi kohaldamisalasse kui elutähtsad
üksused ja olulised üksused. Lisaks nendele üksustele hõlmab see ülesanne ka domeeninimede
registreerimise teenuseid osutatavate üksuste tuvastamist, kuna need pole elutähtsad üksused ega
olulised üksused. Tegemist on ülesandega, mis Riigi Infosüsteemi Ametil ka praegu ehk tegemist
pole niivõrd uue ülesandega kui võrrelda seda muudatust kehtiva õigusega.
Kommenteeritava lõike osas on Euroopa Komisjon selgitanud eelnõu koostajatele, et siinse
ülesande täitmine (nimekirja koostamine) on seotud järelevalve teostamisega, mistõttu selle
ülesande täitmisel ei tuleks hõlmata nimekirja neid üksusi, kes on küll hõlmatud NIS2
direktiiviga, kuid kellele kehtib NIS2 direktiivi artikli 4 lõike 1 kohaselt valdkondlikud Euroopa
Liidu õigusaktid lex specialis’ena. Ehk tegemist pole kohustusega jätta lex specialis’e
kohaldamisalas olevad üksused sellest nimekirjast välja. Seetõttu on ka sobiv tulem ka see, kui
näiteks siinse ülesande puhul ei ole tuvastatud neid teenuse osutajaid, kes on hõlmatud DORA
määruse kohaldamisalasse. Siin vt ka eelnõu KüTS § 1 lõikeid 4 ja 41 ning nende selgitusi.
KüTS § 3 lõigete 31 ja 32 eesmärk on võtta üle NIS2 direktiivi artikli 3 lõike 4 esimene ning
teine tekstilõik. Tegemist on teabega, mida teenuse osutaja ja domeeninimede registreerimise
teenuseid osutav üksus peab Riigi Infosüsteemi Ametile esitama. Siin on ka asjakohane NIS2
direktiivi põhjenduspunkt 18. Võrreldes üle võetava NIS2 direktiivi vastava lõikega on eelnõu
KüTS § 3 lõike 31 punkti 1 lisatud ka andmeväljana „registrikood“, kuna see aitab paremini
eristada üksusi, ennekõike olukorras, kus üksus vahetab näiteks enda nime. Üldjuhul nime
vahetusega ei kaasne registrikoodi muutumist – see toimub pigem ennekõike juriidilise isiku
ühinemise või jagunemise käigus. Seetõttu on registrikood eelduslikult püsivamat laadi tunnus
kui üksuse nimi.
Kommenteeritava lõike punktides 3 ja 4 nimetatud teave tuleb esitada siis, kui see on asjakohane
ehk seda ei pea kõik üksused esitama. Näiteks on punktiga 4 seotud teave vajalik mh ka selleks,
et saaks kohaselt rakendada KüTS §1 lõiget 11 ehk selgitada välja, kas ning mil määral on
konkreetse teema või probleemi lahendamine Riigi Infosüsteemi Ameti pädevuses.
Siin vt ka KüTS § 20 lõike 1 muudatust.
KüTS § 3 lõike 33 eesmärk on võtta üle NIS2 direktiivi artikli 3 lõige 5. Siin vt ka eelnõuga
kavandatavat KüTS § 20 lõiget 2, samuti ka NIS2 direktiivi põhjenduspunkti 19.
74 / 151
Kommenteeritav lõige ei hõlma domeeninimede registreerimise teenuseid osutavat üksust – selles
osas vt eelnõu KüTS § 2 punkti 45 selgitust.
KüTS § 3 lõige 34 on seotud NIS2 direktiivi artikli 3 lõike 4 kolmanda tekstilõikega. Tolles
tekstilõikes viidatud Euroopa Komisjoni suunised ja vormid on esitatud Komisjoni 14.09.2023
teatises „Komisjoni suunised direktiivi (EL) 2022/2555 (küberturvalisuse 2. direktiiv) artikli 3
lõike 4 kohaldamise kohta 2023/C 324/02“. Kättesaadav siit: https://eur-lex.europa.eu/legal-
content/ET/TXT/?uri=CELEX%3A52023XC0914%2801%29&qid=1728044123374.
KüTS § 3 lõige 4 tunnistatakse kehtetuks, kuna kehtetuks tunnistatava lõike punktide sisu on
viidud eelnõuga KüTS § 1 lõike 13 punkti 7 kui ka lõikesse 15. Seetõttu puudub vajadus selle sisu
siinses lõikes dubleerida.
KüTS § 4 lõigetes 1-14 tehtavad muudatused ja täiendused on seotud NIS2 direktiivi artikli 27,
ennekõike nimetatud artikli lõigete 2-5 üle võtmisega. Digitaalse teenuse osutaja olemuse ja sisu
osas vt eelnõus KüTS § 2 punkti 74 ning selle selgitusi. Digitaalse teenuse esindaja olemuse ja
sisu osas vt eelnõus KüTS § 2 punkti 75 ning selle selgitusi.
KüTS § 4 lõikes 1 olevate punktidega võetakse üle NIS2 direktiivi artikli 27 lõike 2 sisu.
Sarnaselt eelnõu KüTS § 3 lõike 31 punktile 1, on KüTS § 4 lõike 1 punkti 1 lisatud
andmeväljana ka „registrikood“, kuna see aitab paremini eristada digitaalse teenuse osutajaid,
ennekõike olukorras, kus digitaalse teenuse osutaja vahetab näiteks enda nime. Üldjuhul nime
vahetusega ei kaasne registrikoodi muutumist – see toimub pigem ennekõike juriidilise isiku
ühinemise või jagunemise käigus.
Kommenteeritava lõikega seonduvalt vt ka eelnõus KüTS § 20 lõiget 4.
KüTS § 4 lõikega 11 võetakse üle NIS2 direktiivi artikli 27 lõige 3 ning KüTS § 4 lõikega 12
võetakse üle NIS2 direktiivi artikli 27 lõige 4. KüTS § 4 lõige 13 on seotud NIS2 direktiivi artikli
27 lõikega 1, mille kohaselt Euroopa Liidu Küberturvalisuse Amet loob tema esitatud teabe
põhjal digitaalse teenuse osutajate registri ja haldab seda. NIS2 direktiivi artikli 27 lõike 1 teise
lause kohaselt võimaldab Euroopa Liidu Küberturvalisuse Amet taotluse korral juurdepääsu NIS2
direktiivi kohastele pädevatele asutustele. Seetõttu tuleb tekitada ka vastava taotluse esitamise
volitus Riigi Infosüsteemi Ametile. Kommenteeritava lõikega ei ole võimalik teha sarnast
taotluse esitamise õigust KüTS § 14 lõikes 5 nimetatud järelevalveasutustele, kuna nimetatud
asutused ei teosta riiklikku järelevalvet digitaalse teenuse osutajate üle.
KüTS § 4 lõige 14 on seotud NIS2 direktiivi artikli 27 lõikega 5. Tolles tekstilõikes viidatud
Euroopa Komisjoni suunised ja vormid on esitatud Komisjoni 14.09.2023 teatises „Komisjoni
suunised direktiivi (EL) 2022/2555 (küberturvalisuse 2. direktiiv) artikli 3 lõike 4 kohaldamise
kohta 2023/C 324/02“. Kättesaadav siit: https://eur-lex.europa.eu/legal-
content/ET/TXT/?uri=CELEX%3A52023XC0914%2801%29&qid=1728044123374.
KüTS § 4 lõikega 11 võetakse üle NIS2 direktiivi artikli 27 lõige 3 ning KüTS § 4 lõikega 12
võetakse üle NIS2 direktiivi artikli 27 lõige 4 ning sellega on seotud ka NIS2 direktiivi
75 / 151
põhjenduspunktiga 117. KüTS § 4 lõige 13 on seotud NIS2 direktiivi artikli 27 lõikega 1, mille
kohaselt Euroopa Liidu Küberturvalisuse Amet loob tema esitatud teabe põhjal digitaalse teenuse
osutajate registri ja haldab seda. NIS2 direktiivi artikli 27 lõike 1 teise lause kohaselt võimaldab
Euroopa Liidu Küberturvalisuse Amet taotluse korral juurdepääsu NIS2 direktiivi kohastele
pädevatele asutustele. Seetõttu tuleb tekitada ka vastava taotluse esitamise volitus Riigi
Infosüsteemi Ametile. Kommenteeritava lõikega ei ole võimalik teha sarnast taotluse esitamise
õigust KüTS § 14 lõikes 5 nimetatud järelevalveasutustele, kuna nimetatud asutused ei teosta
riiklikku järelevalvet digitaalse teenuse osutajate üle.
KüTS § 4 lõige 14 on seotud NIS2 direktiivi artikli 27 lõikega 5. Tolles tekstilõikes viidatud
Euroopa Komisjoni suunised ja vormid on esitatud Komisjoni 14.09.2023 teatises „Komisjoni
suunised direktiivi (EL) 2022/2555 (küberturvalisuse 2. direktiiv) artikli 3 lõike 4 kohaldamise
kohta 2023/C 324/02“. Kättesaadav siit: https://eur-lex.europa.eu/legal-
content/ET/TXT/?uri=CELEX%3A52023XC0914%2801%29&qid=1728044123374.
KüTS § 4 lõike 2 muudatus on seotud NIS2 direktiivi artikli 26 lõike 3 esimese ja teise lause üle
võtmisega. Nende kahe lause sisu: „Kui lõike 1 punktis b osutatud üksuse tegevuskoht ei ole
liidus või ta ei ole seal asutatud, kuid ta pakub liidus oma teenuseid, määrab ta endale liidus
esindaja. Esindaja tegevuskoht peab olema ühes nendest liikmesriikidest, kus teenuseid
osutatakse, või ta peab olema seal asutatud.“ Lauseosa „lõike 1 punktis b osutatud üksuse“ all on
mõeldud eelnõu kontekstis digitaalse teenuse osutajat ehk neidsamu üksusi, kelle suhtes
kasutatakse siinses eelnõus digitaalse teenuse osutaja mõistet.
Kommenteeritava lõikega on seotud ka NIS2 direktiivi põhjenduspunkt 116:
„(116) Kui domeeninimede süsteemi teenuse osutaja, tippdomeeninimede register,
domeeninimede registreerimise teenuseid osutav üksus, pilvandmetöötlusteenuse osutaja,
andmekeskusteenuse osutaja, sisulevivõrgu pakkuja, hallatud teenuse osutaja või turbetarnija või
internetipõhiste kauplemiskohtade, [veebipõhiste] otsingumootorite või sotsiaalvõrguteenuse
platvormi pakkuja, kes ei ole asutatud liidus, osutab teenuseid liidus, peaks ta määrama endale
liidus esindaja. Otsustamaks, kas kõnealune üksus pakub teenuseid liidu piires, tuleks kindlaks
teha, kas üksus kavatseb osutada teenuseid ühes või mitmes liikmesriigis asuvatele isikutele.
Seda, et liidus pääseb juurde üksuse või vahendaja veebisaidile, e-posti aadressile või muudele
kontaktandmetele, või seda, et kasutatakse keelt, mida kasutatakse üldiselt kolmandas riigis, kus
üksus on asutatud, tuleks pidada sellise kavatsuse kindlakstegemiseks ebapiisavaks. Samal ajal
võivad asjaolud, nagu ühes või mitmes liikmesriigis üldiselt kasutatava keele või vääringu
kasutamine, millega kaasneb võimalus tellida teenuseid selles keeles, või liidus paiknevate
klientide või kasutajate mainimine, viidata sellele, et üksus kavatseb pakkuda teenuseid liidus.
Esindaja peaks tegutsema üksuse nimel ning pädevatel asutustel või CSIRTil peaks olema
võimalik esindajaga ühendust võtta. Esindaja tuleks määrata sõnaselgelt üksuse kirjaliku
volitusega täitma [NIS2 direktiivis] sätestatud kohustusi, sealhulgas intsidentidest teatamise
kohustust.“
76 / 151
KüTS § 5 pealkiri - KüTSi kehtiva versioonis on paragrahvi pealkiri „§ 5. Ühtne kontaktpunkt ja
pädev asutus“, kuid seda pealkirja ei ole võimalik edaspidi kasutada, kuna hetkel on KüTS § 5
sisu seotud ennekõike Riigi Infosüsteemi Ametiga, kuid eelnõuga tekitatakse õigusnorme, mis on
seotud ka muude valitsusasutustega. Kommenteeritava paragrahvi pealkirjas sõnastatud pädevad
asutused ei ole ainult pädevad asutused NIS2 direktiivi artikli 8 lõike 1 tähenduses, vaid siin on
mõeldud ka muid asjakohaseid valitsusasutusi.
KüTS § 5 lõike 1 muudatusega antakse Vabariigi Valitsusele volitus võtta vastu NIS2 direktiivi
artiklis 7 nimetatud küberturvalisuse strateegia, mis võib olla koostatud muu õigusakti alusel
koostatava dokumendi osa. Praktikas on see hõlmatud digiühiskonna arengukava koosseisu, mis
võetakse Vabariigi Valitsuse poolt vastu.
Küberturvalisuse strateegia on oma olemuselt laiem kui seda koostava ministeeriumi
pädevusvaldkondade sisu, mistõttu on Vabariigi Valitsuse seaduse § 57 lõiget 3 arvestades antud
küberturvalisuse strateegia vastu võtmise kohustuse kehtestamise volitus Vabariigi Valitsusele.
Kommenteeritava lõikega antakse Justiits- ja Digiministeeriumile ülesanne koordineerida
küberturvalisuse strateegia koostamist, sh antakse nimetatud ministeeriumile kohustus täita NIS 2
direktiivi artikli 7 lõigetes 3 ja 4 sätestatud nõudeid.
NIS 2 direktiivi artikli 7 lõigetes 3 ja 4 olevate nõuete sisu on järgmine:
„3. Liikmesriigid teavitavad komisjoni oma riiklikust küberturvalisuse strateegiast kolme kuu
jooksul pärast selle vastuvõtmist. Liikmesriigid võivad jätta sellistest teadetest välja teabe, mis on
seotud nende riikliku julgeolekuga.
4. Liikmesriigid hindavad oma riiklikke küberturvalisuse strateegiaid peamiste tulemusnäitajate
põhjal korrapäraselt ja vähemalt iga viie aasta järel ja vajaduse korral ajakohastavad neid.
Riikliku küberturvalisuse strateegia ja selle hindamiseks vajalike peamiste tulemusnäitajate
väljatöötamisel või ajakohastamisel, et viia strateegia käesolevas direktiivis sätestatud nõuete ja
kohustustega kooskõlla, abistab liikmesriike nende taotluse korral ENISA.“
Kehtiva õiguse kohaselt on küberturvalisusega seotud valdkonna koordineerimine Majandus- ja
Kommunikatsiooniministeeriumil, kuid käesolev eelnõu arvestab Riigikokku esitatud Vabariigi
Valitsuse seaduse muutmise ja sellega seonduvalt teiste seaduste muutmise seadust 505 SE,
millega liigub Justiits- ja Digiministeeriumisse digiühiskonnapoliitika, avalike e-teenuste,
digiarengu ja küberturvalisuse, riigi infosüsteemide, kesksete võrgu- ja infosüsteemide ning side
ja telekommunikatsiooniga seotud ülesanded. Samuti liiguvad Majandus- ja
Kommunikatsiooniministeeriumi alt Justiits- ja Digiministeeriumi valitsemisalasse Riigi
Infosüsteemi Amet, Riigi Info- ja Kommunikatsioonitehnoloogia Keskus, Riigi
Infokommunikatsiooni Sihtasutus ning Eesti Interneti Sihtasutus. 505 SE-ga seotud muudatuse
on kavandatud jõustuma 2025. aasta 1. jaanuaril.
Kommenteeritava lõikega on seotud ka NIS2 direktiivi põhjenduspunktid 48–57, 60 ja 97.
77 / 151
KüTS § 5 lõige 2 on seotud NIS2 direktiivi artikli 14 lõike 3 esimese lausega („Koostöörühma
moodustavad liikmesriikide, komisjoni ja ENISA esindajad“). Kommenteeritava lõikega antakse
vastav volitus Justiits- ja Digiministeeriumile kui ka Riigi Infosüsteemi Ametile, kuna Vabariigi
Valitsuse seaduse § 44 lõike 1 kohaselt on riiki volitatud esindama valitsusasutus või muu
riigiasutus seadusest, oma põhimäärusest ja teistest õigusaktidest tulenevate ülesannete täitmisel.
Siin vt ka eelnõu KüTS § 5 lõikes 1 olevat selgitust ning viidet Riigikogus olevale 505 SE-le.
KüTS § 5 lõige 3 on seotud NIS2 direktiivi artikli 8 lõigete 1 ja 3, artikli 9 lõike 1, artikli 10
lõike 1, artikli 12 lõike 1 ning artiklite 15 ja 16 üle võtmisega. Kommenteeritava lõikega on
seotud ka NIS2 direktiivi põhjenduspunktid 38–40 ja 68–73. Kommenteeritava lõikega antakse
Riigi Infosüsteemi Ametile vastavate artiklite alusel erinevaid ülesandeid.
KüTS § 5 lõikega 4 (küberintsidentide lahendamise üksuse kohustused) võetakse üle NIS2
direktiivi artikli 10 lõige 1 ja artikli 11 lõike 1 punktid a–f.
KüTS § 5 lõige 5 on seotud NIS2 direktiivi artikli 10 lõigete 3–5, 7 ja 8, artikli 11 lõike 1 teise
tekstilõike, lõike 3 esimese tekstilõigu punktide a–h ning teise tekstilõike ja lõike 4 üle
võtmisega. Kommenteeritava lõikega on seotud ka NIS2 direktiivi põhjenduspunktid 41–47.
Eelnõus on kommenteeritava lõike punktis 10 mainitud ka „kohtuekspertiisiandmeid“ ehk inglise
keeles forensic data. Üldreeglina on digitaalne kohtuekspertiis üks osa kohtuekspertiisist, mis on
suunatud tõendite tuvastamiseks, saamiseks, töötlemiseks, analüüsimiseks ja raporteerimiseks,
mis on talletatud infosüsteemi digiseadmele või teistele andmekandjatele – seda kõike selleks, et
see teave oleks kohtus vastuvõetav. Tõendite kogumine on ka osa küberturvalisuse valdkonnaga
seotud rahvusvahelistest standarditest. Näiteks rahvusvahelise standardi ISO/IEC 27001:2002 lisa
A 5.28, peaksid organisatsioonid tuvastama, koguma, saama ja säilitama tõendeid, mis on seotud
infoturbeintsidentidega. NIS2 direktiivi kontekstis tuleb „kohtuekspertiisiandmeid“ käsitada mitte
ainult kui kriminaalõiguse valdkonnaga seotud kohtuekspertiisiandmetega. Seda tuleks pigem
käsitada laiemalt ehk nende andmete kogumine ja analüüs võib aidata ka tõendite kasutamist
teistes olukordades – näiteks selleks, et teha intsidendi tuumpõhjuse analüüsi, või tegeleda
vastavuskontrolliga. Tuleb arvestada asjaoluga, et NIS2 direktiiv ei anna küberturbe intsidentide
lahendamise üksustele õiguskaitse asutuste ülesandeid ehk ta ei tegele kriminaalmenetluste läbi
viimisega. Selles osas toimub siin pigem koostöö õiguskaitseasutustega, näiteks selleks, et
pakkuda õiguskaitseasutustele tuge nende läbi viidavates kriminaalmenetlustes.
KüTS § 5 lõige 6 on seotud NIS2 direktiivi artikli 11 lõike 3 kolmanda tekstilõike üle võtmisega.
Sarnast triaaži teeb Riigi Infosüsteemi Amet ka korrakaitseseaduse § 24 alusel tehtava
ohuprognoosi alusel, kuid kuna korrakaitseseaduse alusel tehtav ohuprognoos on kohaldatav
ainult erasektori ehk halduseväliste isikute suhtes ja NIS2 direktiiv on mõeldud kohalduma ka
avaliku sektori suhtes, siis tuleb volitus küberturbe intsidentide lahendamise üksusele anda
laiemalt kui see, mida näeb ette korrakaitseseadus. Siiski, on kommenteeritavas lõikes märgitud
ka ohuprognoos, et oleks üheselt selge, et see on ka üks lähenemisviis, millest lähtuvalt
küberturbe intsidentide lahendamise üksus enda tööd planeerib.
78 / 151
KüTS § 5 lõige 7 on seotud NIS2 direktiivi artikli 11 lõike 5 üle võtmisega.
KüTS § 5 lõige 8 on seotud NIS2 direktiivi artikli 12 lõike 1 üle võtmisega.
KüTS § 5 lg 8 punkt 4 on seotud NIS2 direktiivi artikli 12 lõike 1 esimese tekstilõike punktiga c
(esimene tekstipool) - kuigi too punkt c ei sõnasta otsesõnu, et tegemist on nõrkusest avalikkuse
teavitamisega, siis on eelnõus vastav täpsustus tehtud, et oleks konkreetsemalt aru saada, mis
laadi avalikustamisega on tegemist.
KüTS § 5 lg 8 punkti 7 olemus on ennekõike nõrkusest teataja isiku anonüümsuse tagamine teiste
osapoolte kui küberturbe intsidentide lahendamise üksuse liikmete suhtes. Kui sätestada
anonüümsuse tagamine ka küberturbe intsidentide lahendamise üksuse eest, siis vastav üksus ei
saa täita kommenteeritava lõike punktis 1 olevat usaldusväärse vahendaja ülesannet ehk vajadusel
küsida teatajat täiendavat lisainfot, mis aitab potentsiaalse nõrkuse või nõrkuse olemust ning
algpõhjuseid välja selgitada.
KüTS § 5 lõige 9 on seotud NIS2 direktiivi 8 lõike 3 üle võtmisega, et täpsustada kehtivas
õiguses (vt eelnõus KüTS § 14 lõiget 5) olevat olukorda. Selle tulemusena on selge, kuidas
suhestub julgeolekuasutus NIS2 direktiivi ning selle rakendamisse. Siin annab julgeolekuasutus
vajalikku infot Riigi Infosüsteemi Ametile (vt eelnõus KüTS § 174), et viimane saaks enda
ülesandeid täita nii siseriiklikult kui ka riigiväliste koostööpartnerite suhtes.
KüTS § 52 lisamine on seotud Euroopa Komisjoni 11. märtsi 2024. a delegeeritud määruse (EL)
2024/1366 rakendamisega ehk tolle delegeeritud määruse 2024/1366 artiklite 4 ja 39–41
vastavate sätete täpsustamisega Eestis.
Kommenteeritava paragrahvi esimene lõige on seotud delegeeritud määruse artikli 4 lõikega 1,
mille sisu on järgmine:
„1. Niipea kui võimalik ja hiljemalt 13. detsember 2024 määrab iga liikmesriik ühe riikliku või
reguleeriva asutuse, kes vastutab talle [delegeeritud määrusega 2024/1366] antud ülesannete
täitmise eest (edaspidi „pädev asutus“). Kuni [delegeeritud määrusest 2024/1366] tulenevate
ülesannete täitmiseks pole pädevat asutust määratud, täidab [delegeeritud määruse 2024/1366]
kohaseid pädeva asutuse ülesandeid liikmesriigi poolt direktiivi 2019/944 artikli 57 lõike 1
kohaselt määratud reguleeriv asutus.“
Direktiivi 2019/944 artikli 57 lõike 1 kohaselt määratud reguleeriv asutus Eestis on
Konkurentsiamet, kellel hetkel puudub küberturvalisuse tagamise kontrolliga seotud kompetents,
mistõttu on kasulikum vastav ülesanne anda kommenteeritava paragrahvi esimese lõike alusel
Riigi Infosüsteemi Ametile.
Kommenteeritava paragrahvi teine lõige on seotud delegeeritud määruse 2024/1366 artikli 4
kolmandas lõikes 3 oleva võimalusega edasi delegeerida vastavaid ülesandeid, v.a. sama määruse
artiklis 5 loetletud ülesandeid, teisele riigi ametiasutusele. Nende ülesannete edasi delegeerimise
jaoks on vajalik küberturvalisuse valdkonna eest vastutava ministri volitust.
79 / 151
Delegeeritud määruse 2024/1366 artikli 5 sisu:
„Artikkel 5. Asjaomaste asutuste ja organite koostöö riigi tasandil
Pädevad asutused tagavad asjakohase koostöö küberturvalisuse eest vastutavate pädevate
asutuste, küberkriiside ohjamise asutuste, riikide reguleerivate asutuste, riskivalmiduse eest
vastutavate pädevate asutuste ja CSIRTide vahel ning koordineerivad seda koostööd, et täita
käesolevas määruses sätestatud asjakohaseid kohustusi. Pädevad asutused koordineerivad oma
tegevust ka teiste liikmesriikide määratud organite või asutustega, et tagada tõhusad menetlused
ning vältida ülesannete ja kohustuste dubleerimist. Pädevatel asutustel peab olema võimalik
anda asjaomastele riikide reguleerivatele asutustele korraldus küsida ACERilt arvamust
vastavalt artikli 8 lõikele 3.“
ACER on lühend, mis eesti keeles tähendab Euroopa Liidu Energeetikasektorit Reguleerivate
Asutuste Koostöö Ametit.
Kommenteeritava paragrahvi kolmas lõige on seotud delegeeritud määruse 2024/1366 artikli 39
lõikes 4, artikli 40 lõikes 5 ja artikli 41 lõikes 4 sätestatud ülesannetega, et tekitada volitus need
ülesanded vajaduse korral edasi volitada määruse 2019/943 artikli 35 kohaselt asutatud
piirkondlikule koordineerimiskeskusele. Kommenteeritava lõikega ei tekitata kohustust nende
ülesannete edasi volitamiseks, vaid võimalust vastava volituse tegemist Vabariigi Valitsuse poolt.
Kommenteeritava lõikega seotud asjakohased sätted on:
a) delegeeritud määruse 2024/1366 artikli 39 lõiked 1 ja 4:
„Artikkel 39 Küberrünnete avastamine ja nendega seotud teabe käsitlemine
1. Ülisuure ja suure mõjuga üksused arendavad asjaomase pädeva asutuse, ENTSO-E ja
Euroopa Liidu jaotusvõrguettevõtjate üksuse toetusel välja vajaliku võime kindlakstehtud
küberrünnete käsitlemiseks. Ülisuure ja suure mõjuga üksusi võib toetada nende liikmesriigis
kindlaks määratud CSIRT osana CSIRTidele [NIS2 direktiivi] artikli 11 lõike 5 punktiga a antud
ülesandest. Ülisuure ja suure mõjuga üksused rakendavad tõhusaid protsesse, et teha kindlaks ja
liigitada küberründeid ning reageerida rünnetele, mis mõjutavad või võivad mõjutada
piiriüleseid elektrivooge, et minimeerida nende küberrünnete mõju.
4. Liikmesriigid võivad lõikes 1 osutatud ülesanded delegeerida ka määruse 2019/943 artikli 37
lõike 2 kohastele piirkondlikele koordineerimiskeskustele.“
ENTSO-E on lühend, mis eesti keeles tähendab Euroopa elektri põhivõrguettevõtjate
võrgustikku.
b) delegeeritud määruse artikli 40 lõiked 4 ja 5:
„Artikkel 40 Kriisiohje
4. Ülisuure ja suure mõjuga üksused arendavad ja hoiavad oma käsutuses suutlikkust,
sisesuuniseid, valmisolekukavasid ja töötajaid, et osaleda piiriüleste kriiside avastamises ja
80 / 151
leevendamises. Üheaegsest elektrikriisist mõjutatud ülisuure või suure mõjuga üksus uurib koos
oma pädeva asutusega sellise kriisi algpõhjust, et teha kindlaks, kuivõrd on kriis seotud
küberründega.
5. Liikmesriigid võivad lõikes 4 sätestatud ülesanded delegeerida ka määruse 2019/943 artikli 37
lõike 2 kohastele piirkondlikele koordineerimiskeskustele.“
c) delegeeritud määruse artikli 41 lõiked 1, 2 ja 4:
„Artikkel 41 Küberkriisi ohjamise ja kriisile reageerimise kavad
1. 24 kuu jooksul pärast seda, kui ACERile on teatavaks tehtud kogu liitu hõlmav
riskihindamisaruanne, töötab ACER tihedas koostöös ENISA, ENTSO-E, Euroopa Liidu
jaotusvõrguettevõtjate üksuse, küberturvalisuse eest vastutavate pädevate asutuste, pädevate
asutuste, ohuvalmiduse eest vastutavate pädevate asutuste, riikide reguleerivate asutuste ning
võrgu- ja infoturbe riiklike küberkriisi ohjamise asutustega elektrisektori jaoks välja liidu tasandi
küberkriisi ohjamise ja kriisile reageerimise kava.
2. 12 kuu jooksul pärast seda, kui ACER on lõike 1 kohaselt elektrisektori jaoks välja töötanud
liidu tasandi küberkriisi ohjamise ja kriisile reageerimise kava, koostab iga pädev asutus
piiriüleste elektrivoogude teemalise küberkriisi ohjamise ja kriisile reageerimise riikliku kava,
milles võetakse arvesse liidu tasandi küberkriisi ohjamise kava ja määruse (EL) 2019/941 artikli
10 kohaselt kehtestatud riiklikku ohuvalmiduskava. See kava peab olema kooskõlas [NIS2
direktiivi] artikli 9 lõike 4 kohase riikliku ulatuslike küberturbeintsidentide ja kriiside
lahendamise kavaga. Pädev asutus kooskõlastab oma tegevuse ülisuure ja suure mõjuga
üksustega ning oma liikmesriigi ohuvalmiduse eest vastutava pädeva asutusega.
4. Liikmesriigid võivad lõigetes 1 ja 2 loetletud ülesanded delegeerida ka määruse 2019/943
artikli 37 lõike 2 kohastele piirkondlikele koordineerimiskeskustele.“
d) määruse 2019/943 artikkel 35:
„Artikkel 35 Piirkondlike koordineerimiskeskuste loomine ja missioon
1. Hiljemalt 5. juuliks 2020 esitavad kõik süsteemikäitamispiirkonna põhivõrguettevõtjad
asjaomastele reguleerivatele asutustele ettepaneku piirkondlike koordineerimiskeskuste loomise
kohta kooskõlas käesolevas peatükis sätestatud kriteeriumidega.
Süsteemikäitamispiirkonna reguleerivad asutused vaatavad ettepaneku läbi ja kiidavad selle
heaks.
Ettepanek peab sisaldama vähemalt järgmisi elemente:
a) liikmesriik, kus on piirkondlike koordineerimiskeskuste ja osalevate põhivõrguettevõtjate
asukoht;
b) ühendatud ülekandesüsteemi tõhusa, turvalise ja töökindla toimimise tagamiseks vajalik
organisatsiooniline, rahaline ja töökorraldus;
81 / 151
c) piirkondlike koordineerimiskeskuste töölerakendamise kava;
d) piirkondlike koordineerimiskeskuste põhikirjad ja töökorrad;
e) koostöömenetluste kirjeldus kooskõlas artikliga 38;
f) piirkondlike koordineerimiskeskuste vastutuse korra kirjeldus kooskõlas artikliga 47;
g) kui kahte piirkondlikku koordineerimiskeskust hallatakse artikli 36 lõike 2 kohaselt rotatsiooni
korras, siis piirkondlike koordineerimiskeskuste üheselt mõistetavate kohustuste ja nende
ülesannete täitmise tagamiseks ette nähtud korra kirjeldus.
2. Pärast seda, kui reguleerivad asutused on lõikes 1 osutatud ettepaneku heaks kiitnud,
asendavad piirkondlikud koordineerimiskeskused määruse (EÜ) nr 714/2009 artikli 18 lõike 5
alusel vastu võetud süsteemi käidueeskirjade kohaselt loodud piirkondlikud talitluskindluse
koordinaatorid ning alustavad tööd hiljemalt 1. juulil 2022.
3. Piirkondlikud koordineerimiskeskused luuakse Euroopa Parlamendi ja nõukogu direktiivi (EL)
2017/1132 II lisas osutatud õiguslikus vormis.
4. Piirkondlikud koordineerimiskeskused tegutsevad liidu õiguse kohaseid ülesandeid täites
sõltumatult riikide individuaalsetest huvidest ja põhivõrguettevõtjate huvidest.
5. Piirkondlikud koordineerimiskeskused täiendavad põhivõrguettevõtjate rolli, täites
piirkondliku tähtsusega ülesandeid, mis on neile antud kooskõlas artikliga 37.
Põhivõrguettevõtjad vastutavad võimsusvoogude juhtimise eest ning turvalise, töökindla ja
tõhusa elektrisüsteemi tagamise eest kooskõlas direktiivi 2019/944 artikli 40 lõike 1 punktiga d.“
e) määruse 2019/943 artikkel 37 lõige 2:
„Artikkel 37 Piirkondlike koordineerimiskeskuste ülesanded
2. Komisjoni või liikmesriikide ettepanekul avaldab direktiivi 2019/944 artikli 68 kohaselt loodud
komitee arvamuse piirkondlikele koordineerimiskeskustele uute nõustamisülesannete andmise
kohta. Kui komitee avaldab uute nõustamisülesannete andmise kohta positiivse arvamuse,
täidavad piirkondlikud koordineerimiskeskused neid ülesandeid ENTSO-E poolt välja töötatud ja
ACERi poolt artiklis 27 sätestatud menetluse kohaselt heaks kiidetud ettepaneku alusel.“
KüTS §-ga 61 võetakse üle NIS2 direktiivi artikkel 20. See on ka seotud NIS2 direktiivi
põhjenduspunktiga 137: „(137) [NIS2 direktiivi] eesmärk peaks olema tagada kõrgel tasemel
vastutus küberturvalisuse riskijuhtimismeetmete rakendamise ja teatamiskohustuse täitmise eest
elutähtsate ja oluliste üksuste tasandil. Seepärast peaksid elutähtsate ja oluliste üksuste
juhtorganid kiitma küberturvalisuse riskijuhtimismeetmed heaks ja jälgima nende rakendamist.“
Kui üksuse juhtorgan peaks mingil põhjusel delegeerima kommenteeritava paragrahviga ette
nähtud kohustused, siis see poleks NIS2 direktiivi artikliga 20 ja kommenteeritava paragrahviga
kooskõlas. Seetõttu ei ole võimalik taolist delegeerimist siin teostada.
82 / 151
Kommenteeritava paragrahvi lõikega 1 võetakse üle NIS2 direktiivi artikli 20 lõige 1,
konkreetsemalt selle esimene tekstilõik. Selles märgitud turvameetmete all on mõeldud KüTS § 7
ning selles ette nähtud turvameetmeid. Tuleb arvestada asjaoluga, et küberturvalisusega
tegelemine ei ole ühekordne projekt, vaid see on järjepidev tegevus, mistõttu on vajalik sätestada,
et teenuse osutaja juhtorgan lisaks turvameetmete heaks kiitmisele tegeleb ka nende rakendamise
jälgimisega. Kommenteeritava paragrahviga on seotud ka KüTS § 184 – selles osas vt vastava
paragrahvi selgitusi.
Kommenteeritava paragrahvi lõigetega 2 ja 3 võetakse üle NIS2 direktiivi artikli 20 lõige 2.
Nende koolituste sisu ehk õpiväljundid võiksid olla järgmised: küberturvalisusega seotud riskid,
ohud, levinumad rünnakutüübid kui ka riskide haldamine.
Taolise koolituse läbija ehk teenuse osutaja juhtorgani liige:
1. teab:
1.1. Euroopa Liidu ja riiklike küberjulgeolekut korraldavaid regulatsioone ning nende mõju enda
organisatsiooni küberjulgeolekule ja juhtide kohustustele;
1.2. kõige levinumaid küberohte (nt õngitsus, lunavara, andmepüügi- ja teenustõkestusrünnakud)
ning mõistab, kuidas nende vastu kaitsta;
1.3. küberjulgeoleku riskide hindamise ja juhtimise põhimõtteid ning enda organisatsiooni riskide
leevendamise meetmeid;
2. tunneb:
2.1. ära küberohtude võimalikku mõju enda organisatsioonile, sh ärikriitiliste infosüsteemide ja
andmete tähtsust;
2.2. ennetusmeetmeid ja praktilisi lahendusi, mida saab rakendada enda organisatsiooni
küberjulgeoleku tugevdamiseks;
2.3. kriisiohjamise ja küberintsidentidele reageerimise protsessi olulisust ning vajadust eelnevalt
välja töötatud ja testitud kriisiplaanide järele;
3. oskab:
3.1. hinnata küberohtude realiseerumise tõenäosust ja mõju enda organisatsiooni (äri)tegevusele;
3.2. välja töötada ja rakendada asjakohaseid ja proportsionaalseid meetmeid (teabe)varade
kaitsmiseks ning küberjulgeoleku riskide leevendamiseks.
3.3. juhtida ja eskaleerida küberkriiside lahendamist, sealhulgas reageerida küberintsidentidele
ning taastada (äri)kriitilised teenused.
3.4. koostada ja testida küberintsidentide haldamisplaane ning parandada enda organisatsiooni
kübervastupidavust.
83 / 151
NIS2 direktiivi vastav artikkel ei määratle, mis on nende koolituste tegemise välp ehk mis aja
tagant tuleks taolisi koolitusi teha. Eelnõu koostajatena ootame tagasisidet, kas taoline välp tuleks
reguleerida ning kui jah, siis mis võiks olla sobiv välba pikkus.
KüTS § 7 lõikega 1 võetakse üle NIS2 direktiivi artikli 21 lõike 1 esimene tekstilõik ja samal
ajal säilitades muudetava lõike 1 olemus ning sisu eelnõuga sätestatud sõnastuses.
KüTS § 7 lõikega 2 võetakse üle NIS2 direktiivi artikli 21 lõike 2 sisu. Teemaga on seotud
ennekõike ka NIS2 direktiivi põhjenduspunktid 77-86 ja 88-91, ning konkreetsemate üksuste
(näiteks usaldusteenuse osutajad, sh kvalifitseeritud usaldusteenuse osutajad, üldkasutatava
elektroonilise side võrgu pakkuja ja üldkasutatava elektroonilise side teenuse osutaja) osas ka
põhjenduspunktid 93–100. Kommenteeritava lõikes määratakse kindlaks need tegevused ja
asjaolud, mida teenuse osutaja peab tegema või arvestama turvameetme rakendamisel.
Turvameetmete definitsiooni osas vt KüTS § 2 punkti 21.
NIS2 artikli 21 lõikes 2 olevad nõuded on praktikas sisuliselt sama, mida näeb ette KüTS § 7
lõike 5 alusel kehtestatud Eesti infoturbestandard.40 Selle ilmestamiseks on esitatud tabel 1:
NIS2 artikkel 21 lõige 1 Eesti
infoturbestandardi
moodul
põhitasemel
Eesti
infoturbestandardi
moodul
standardtasemel
Kommentaar
Terve lõige OPS OPS Eesti
infoturbestandardi
puhul tuleneb
proportsionaalsus just
selle modulaarsest
iseloomus ja
astmelisusest.
Terve lõige ORP ORP Kui üksus nõuab
meeteid oma
tarneahela partneritelt,
siis on vastavalt
varadele võimalik
samuti meetmed võtta
otse Eesti
infoturbestandardist
Terve lõige Eesti
infoturbestandardi
meetmete regulaarne
uuendamine peab
tagama nende
vastavuse
40 Kättesaadav ettevõtlus- ja infotehnoloogiaministri 16.12.2022 määruse nr 101 „Eesti infoturbestandard“ lisadest
(vt https://www.riigiteataja.ee/akt/130012024007?leiaKehtiv) või Eesti infoturbestandardi portaalist
https://eits.ria.ee/.
84 / 151
küberintsidentidele ja
uutele tehnoloogiatele
– sellega
uuendamisega
tegelebki Riigi
Infosüsteemi Amet
NIS2 direktiivi artikli 21
lõige 2
Eesti
infoturbestandardi
moodul
põhitasemel
Eesti
infoturbestandardi
moodul
standardtasemel
Kommentaar
Punkt a ISMS,
ORP,
OPS,
DER,
APP,
SYS,
INF
ISMS,
ORP,
OPS,
CON,
DER,
APP,
SYS,
IND
Meetmed on jaotunud
kõigisse
protseduurilistesse
moodulitesse, osad
täpsustused ja
sõltuvalt
kasutatavatest
varadest süsteemi
moodulites.
Punkt b OPS,
DER,
ORP
OPS,
DER,
IND,
NET,
INF
Põhisisu OPS ja DER
moodulites.
Punkt c CON,
OPS,
DER,
APP,
SYS,
IND,
NET,
INF
CON,
OPS,
DER,
APP,
SYS,
IND,
NET,
INF
Põhisisu CON, OPS
ja DER moodulites,
teistes täpsustused
varade põhiselt.
Punkt d ISMS,
OPS,
CON,
DER,
APP,
SYS,
IND,
NET,
INF
OPS,
CON,
APP,
IND,
INF
Põhisisu OPS
moodulis, teistes
täpsustused.
Punkt e CON,
OPS,
DER,
APP,
SYS,
IND,
CON,
OPS,
DER,
APP,
SYS,
IND,
Protseduurilised
teemad valdavalt
CON ja OPS
moodulites, mujalt
täpsustused; DER
lisab nõrkuse halduse,
85 / 151
NET,
INF
NET,
INF
mis kajastub ka
varapõhistes
moodulites.
Punkt f ISMS,
CON,
DER,
INF
ORP,
DER,
SYS,
IND,
NET,
INF
Tegutsemist
riskipõhiselt eeldab
just infoturbe
tervikhaldus,
etalonturve on selle
üks osa.
Punkt g ORP,
CON,
OPS,
SYS,
NET,
INF
ORP,
OPS,
DER,
APP,
NET,
INF
Koolitused ORP
moodulis, kuid mujal
moodulites on
täpsustused osade
kohta, mis vajavad
eraldi koolitust.
Punkt h CON,
OPS,
APP,
SYS,
NET
ISMS,
ORP,
CON,
OPS,
APP,
SYS,
NET
Üldine krüptograafia
kajastatud CON
moodulis, mujal
spetsiifilised
täpsustused
konkreetsematest
kasutuskohtadest.
Punkt i ISMS,
ORP,
CON,
OPS,
APP,
SYS,
IND,
NET,
INF
ORP,
CON,
OPS,
APP,
SYS,
IND,
NET,
INF
Pääsuhaldus katab pea
kõiki mooduleid,
põhiline ORPis.
Punkt j ORP,
OPS,
APP,
SYS
ORP,
CON,
OPS,
APP,
SYS,
NET
MFA ja UCC teemad
kajastatud
kasutuskohtades ja
ORP moodulis.
NIS2 direktiivi artikli 21
lõige 3
Eesti
infoturbestandardi
moodul
põhitasemel
Eesti
infoturbestandardi
moodul
standardtasemel
Kommentaar
Terve lõige OPS OPS On kaetud OPS
mooduliga.
Tabel 1. NIS2 direktiivi artikli võrdluse Eesti infoturbestandardiga.
Riigi Infosüsteemi Amet on ka välja töötamas tehnoloogilist lahendust, mis toetab Eesti
infoturbestandardi rakendamist. Antud abivahend aitab rakendajal luua organisatsiooni vajaduste
86 / 151
põhine turvameetmete rakendusplaan, seejuures vähendada vigade teket meetmete valimisel ja
suunata rakendaja koheselt meetmete rakendamisele. Peamine eesmärk on vähendada rakendaja
jaoks Eesti infoturbestandardi rakendamise protsessi keerukust. Sisuliselt on kõnealuse lahenduse
näol tegu interaktiivse rakendusjuhendiga. Seejuures säilib siiski kogu standardi olemus ja
meetmetes järeleandmisi ei tehta – küberruumi olukord nõuab jätkuvalt vähemalt põhimeetmete
rakendamist ja NIS2 direktiivi artikli 21 nõuded on seejuures kõikehõlmavad. Riigi Infosüsteemi
Amet ei hakka organisatsioonide turvet haldama ja haldamise teavet hoidma. Siin tegeleb Riigi
Infosüsteemi Amet Eesti infoturbestandardi arendamisega ja püüab leida lahendusi, et aidata
rakendajal leida standardist õiged meetmed oma organisatsioonile võimalikult ressursse säästvalt.
Sisulise rakendamise ja haldamise peab teostama organisatsioon oma tööriistadega lähtuvalt oma
varadest ja meetmetest. Eeldatav ajahorisont rakendusplaani koostamise abilise evitamisel:
tehnilise rakenduse pilootimine ja peenhäälestus toimub 2024. a 4. kvartalis; avalikuks
kasutamiseks avaldamine peaks toimuma hiljemalt 2025. a 2. kvartalis. Testkeskkonna link
https://mass.cloud.ut.ee/test-massui/ ja töökeskkonna link https://mass.cloud.ut.ee/massui/.
KüTS § 7 lõikega 21 võetakse üle NIS2 direktiivi artikli 21 lõike 1 teine tekstilõik ja lõike 2
sissejuhatav osa. Tegemist on asjaoludega, millega tuleb teenuse osutajal turvameetmete
rakendamisel arvestada.
Kaitsetarbe (vt seoses KüTS § 7 lg 21 punktiga 1) sisu aitab selgitada Eesti infoturbestandardi
portaalis olev seletav sõnaraamat (https://eits.ria.ee/et/abimaterjalid/seletav-
soonaraamat/k/kaitsetarve), mille kohaselt kaitsetarbe selgitus on: „Vara väärtusest tulenev
vajadus seda kaitsta. Kaitsetarve on andmete ja teabe vajadus kaitsta neid kahju eest, mille võib
tekitada konfidentsiaalsuse, tervikluse või käideldavuse või kõigi kolme rikkumine. [Eesti
infoturbestandardi] kontekstis laieneb kaitsetarve ka äriprotsessile, mille korral hinnatakse
kaitsetarvet, lähtudes kahjustsenaariumitest (nt õigusaktide, eeskirjade või lepingute rikkumine;
teabelise enesemääramisõiguse rikkumine; isiku füüsilise puutumatuse rikkumine; ülesannete
täitmise võime kahjustamine; negatiivsed sisemised või välised toimed; rahalised tagajärjed).
Kaitsetarvet väljendatakse kolmeastmelises skaalas: „normaalne“, „suur“ või „väga suur“.
Kuna kaitsetarbe määramine on organisatsiooni riskihalduse osa, siis riskihalduse metoodikas
määratleb organisatsioon ise kaitsetarbe kahjustsenaariumid ja täpsustab skaalat enda
kontekstist ja tegelikest potentsiaalsetest mõjudest lähtuvalt.“
Eesti infoturbestandardi portaalis olev rakendusjuhendi peatükk 5.2. selgitab ka kaitsetarbe
olemust ja sisu – vt lähemalt: https://eits.ria.ee/et/abimaterjalid/rakendusjuhend/juhend.
KüTS § 7 lõikega 22 võetakse üle NIS2 direktiivi artikli 21 lõige 3 ja KüTS § 7 lõikega 23
võetakse üle NIS2 direktiivi artikli 21 lõige 4.
KüTS § 7 lõige 6 on mõeldud NIS2 direktiivi artikli 21 lõike 5 rakendamiseks ehk
kommenteeritava lõikega tekitatakse selgus, et millised teenuse osutajad lähtuvad turvameetmete
rakendamisel NIS2 direktiivi artikli 21 lõike 5 alusel Euroopa Komisjoni rakendusaktist ja seal
sätestatud nõuetest.
87 / 151
Teadaolevalt kehtestab Euroopa Komisjon taolised erinõuded enda rakendusaktiga järgmiste
teenuse osutajate suhtes: domeeninimede süsteemi teenuse osutajad, tippdomeeninimede
registrid, pilvandmetöötlusteenuse osutajad, andmekeskusteenuse osutajad, sisulevivõrgu
pakkujad, hallatud teenuse osutajad, hallatud turbeteenuste osutajad (turbetarnijad),
internetipõhiste kauplemiskohtade, veebipõhiste (internetipõhiste) otsingumootorite ning
sotsiaalvõrguteenuse platvormide ja usaldusteenuse pakkujad.
Selle rakendusakti nimeks on „Euroopa Komisjoni rakendusmäärus (EL) 2024/2690, 17.
oktoober 2024, millega kehtestatakse seoses domeeninimede süsteemi teenuse osutajate,
tippdomeeninimede registrite, pilvandmetöötlusteenuse osutajate, andmekeskusteenuse osutajate,
sisulevivõrgu pakkujate, hallatud teenuse osutajate, turbetarnijate ning internetipõhiste
kauplemiskohtade, internetipõhiste otsingumootorite, sotsiaalvõrguteenuse platvormide ja
usaldusteenuse pakkujatega direktiivi (EL) 2022/2555 kohaldamise eeskirjad, mis puudutavad
küberturvalisuse riskijuhtimismeetmete tehnilisi ja metoodilisi nõudeid ja selliste juhtude
täpsemat kindlaksmääramist, mille korral peetakse intsidenti oluliseks.“ Vastav rakendusakt
(jõustus 07.11.2024) on leitav siit: https://eur-lex.europa.eu/legal-
content/ET/TXT/?uri=CELEX%3A32024R2690&qid=1730728447038.
Täiendav lisainfo sel teemal: https://ec.europa.eu/info/law/better-regulation/have-your-
say/initiatives/14241-Cybersecurity-risk-management-reporting-obligations-for-digital-
infrastructure-providers-and-ICT-service-managers_en ja https://eur-lex.europa.eu/legal-
content/ET/TXT/?uri=PI_COM:Ares(2024)4640447&qid=1728309190768.
Kommenteeritava lõike puhul eelnõu koostajatena ootame tagasisidet, kuivõrd selge on kõnealuse
lõike sõnastus, sh kas seletuskirjas soovitud eesmärk on arusaadav ka eelnõu enda tekstist.
KüTS § 8 lõike 1 muudatus on seotud erisuse sätestamisega julgeolekuasutuste kontekstis ehk on
seotud NIS2 direktiivi artikli 8 lõike 1 üle võtmisega (vt eelnõus KüTS § 5 lõiget 9).
Kommenteeritav lõige on seotud ka kommenteeritava paragrahvi lõikega 10.
KüTS § 8 lõike 2 punktide 1 ja 4 muutmine on tehniline muudatus, kuna KüTS § 7 lõikes 2
olevate punktide numbrid muutuvad, mistõttu on vaja tekitada viide õigele punktile viidatud
lõikes.
KüTS § 8 lõike 2 punktiga 6 ehk lisanduva punktiga tehakse selgem seos ja määratlus, et ka
NIS2 direktiivi artikli 23 lõike 11 alusel vastu võetavas Euroopa Komisjoni rakendusaktis
määratletud oluline küberintsident on olukord, millest tuleb KüTS § 8 kohaselt Riigi
Infosüsteemi Ametit teavitada, kuna tegemist on olulise mõjuga küberintsidendiga.
Teadaolevalt kehtestab Euroopa Komisjon taolised erinõuded enda rakendusaktiga järgmiste
teenuse osutajate suhtes: domeeninimede süsteemi teenuse osutajad, tippdomeeninimede
registrid, pilvandmetöötlusteenuse osutajad, andmekeskusteenuse osutajad, sisulevivõrgu
pakkujad, hallatud teenuse osutajad, hallatud turbeteenuste osutajad (turbetarnijad),
internetipõhiste kauplemiskohtade, veebipõhiste (internetipõhiste) otsingumootorite ning
sotsiaalvõrguteenuse platvormide ja usaldusteenuse pakkujad.
88 / 151
Selle rakendusakti nimeks on „Euroopa Komisjoni rakendusmäärus (EL) 2024/2690, 17.
oktoober 2024, millega kehtestatakse seoses domeeninimede süsteemi teenuse osutajate,
tippdomeeninimede registrite, pilvandmetöötlusteenuse osutajate, andmekeskusteenuse osutajate,
sisulevivõrgu pakkujate, hallatud teenuse osutajate, turbetarnijate ning internetipõhiste
kauplemiskohtade, internetipõhiste otsingumootorite, sotsiaalvõrguteenuse platvormide ja
usaldusteenuse pakkujatega direktiivi (EL) 2022/2555 kohaldamise eeskirjad, mis puudutavad
küberturvalisuse riskijuhtimismeetmete tehnilisi ja metoodilisi nõudeid ja selliste juhtude
täpsemat kindlaksmääramist, mille korral peetakse intsidenti oluliseks“. Vastav rakendusakt
(jõustus 07.11.2024) on leitav siit: https://eur-lex.europa.eu/legal-
content/ET/TXT/?uri=CELEX%3A32024R2690&qid=1730728447038.
Täiendav lisainfo sel teemal: https://ec.europa.eu/info/law/better-regulation/have-your-
say/initiatives/14241-Cybersecurity-risk-management-reporting-obligations-for-digital-
infrastructure-providers-and-ICT-service-managers_en ja https://eur-lex.europa.eu/legal-
content/ET/TXT/?uri=PI_COM:Ares(2024)4640447&qid=1728309190768.
Kui kommenteeritavat punkti ei lisata, siis ei ole üheselt selge, et kuidas suhestub KüTSis olev
olulise mõjuga küberintsidendi teavitamine nende olukordadega, mis on vastavas rakendusaktis
määratletud.
KüTS § 8 lõige 4 tunnistatakse kehtetuks, kuna küberintsidendist vabatahtliku teavitamise
temaatika on eelnõuga kavandatud KüTS §-s 81.
KüTS § 8 lõigetega 41 ja 42 võetakse üle NIS2 direktiivi artikli 23 lõige 4 ehk kommenteeritavas
lõikes määratakse kindlaks need asjaolud, mida olulise mõjuga küberintsidendi kohta esitada. See
kõik on tingimusel, et vastav teave on olemas teavituse hetkel ehk praktikas võib olla ka olukord,
kus mingi asjaolu ei ole veel teada (nt intsidendi piiriülene mõju või hinnang olulise mõjuga
küberintsidendi tõsidusele ja mõjule vms). Seetõttu on kommenteeritava lõike sissejuhatavas
lauses ka sõnad „esitatakse võimaluse korral“.
NIS2 direktiivi artikli 23 lõige 4 näeb tegelikult ette nelja laadi teavitused: varajane hoiatus,
intsidenditeade, vahearuanne ja lõpparuanne. Vastavaid teavitusi ja küberintsidendi teavitamise
temaatikat sisustab ka NIS2 direktiivi põhjenduspunktid 101–107. Samas on need teavituse liigid
üsnagi erinevad sisu ja tingimuste mõttes, mistõttu säilitatakse eelnõuga kehtivat õigust (nt
teavituse tähtaja osas) kui ka ühtlustatakse teavituse enda sisu, et tekiksid ühtsed ja selged
nõuded.
Selguse huvides märgime, et mis on NIS2 direktiivi artikli 23 lõike 4 kohaselt vastavate
teavituste sisu ja tingimused:
a) varajane hoiatus – esitada põhjendamatu viivituseta ning hiljemalt 24 tunni jooksul pärast
olulisest intsidendist teada saamist; selles teavituses märgitakse, kas olulise intsidendi põhjuseks
on eeldatavasti ebaseaduslik või pahatahtlik tegevus või kas sellel võib olla piiriülene mõju;
89 / 151
b) intsidenditeade – esitada põhjendamatu viivituseta ja igal juhul 72 tunni jooksul pärast
olulisest intsidendist teadlikuks saamist; teavituses vajaduse korral ajakohastatakse varajase
hoiatuse teates olevat teavet ning antakse esialgne hinnang olulisele intsidendile, sealhulgas selle
tõsidusele ja mõjule ning võimaluse korral ka rikkeindikaatoritele;
c) vahearuanne – kui Riigi Infosüsteemi Amet seda soovib tema määratud tähtajal (NIS2 direktiiv
tähtaega ei määratle);
d) lõpparuanne – üks kuu pärast intsidenditeate esitamist; kui intsident jätkuvalt kestab, siis sel
tähtajal tuleb esitada vahearuanne - sel juhul tuleb lõpparuanne esitada ühe kuu jooksul pärast
intsidendi käsitlemist; lõpparuande sisuks on: i) intsidendi, sealhulgas selle tõsiduse ja mõju
üksikasjalik kirjeldus; ii) ohu liik või lähtepõhjus, mis intsidendi tõenäoliselt põhjustas; iii) juba
kohaldatud ja kohaldamisel olevad leevendusmeetmed; iv) kui see on kohaldatav, intsidendi
piiriülene mõju.
KüTS § 8 lõike 42 teises lauses on märgitud, et vahearuandes eristatakse ka „asjakohasel juhul
Riigi Infosüsteemi Ameti taotluses küsitud täiendav teave“, mille puhul on mõeldud seda teavet,
mida võidakse küsida teenuse osutajalt täiendavalt juurde konkreetse juhtumi olusid arvestades.
Kommenteeritava lõike alusel tekib Riigi Infosüsteemi Ametil võimalus, mitte kohustus
nimetatud vahearuannet küsida ehk ta ei pruugi seda üldse küsida, vaid jääb ootama teenuse
osutaja esitatavat lõpparuannet (vt eelnõus KüTS § 8 lõiget 7).
KüTS § 8 lõikes 5 tehtav muudatus (lauses 1) ja täiendus (lisanduv lause 2) on seotud NIS2
direktiivi artikli 23 lõike 1 esimese tekstilõigu teise lause ja lõigete 2 ning 7 üle võtmisega.
Olulise mõjuga küberintsidendi olemus on sätestatud eelnõuga KüTS § 8 lõikes 2, oluline
küberoht on defineeritud eelnõuga KüTS § 2 punktis 35.
KüTS § 8 lõikes 7 tehtavad muudatused (lauses 1) ja täiendus (lause 2) on seotud NIS2 direktiivi
artikli 23 lõike 4 esimese tekstilõigu punktide d ja e üle võtmisega. Kui NIS2 direktiivis
kasutatakse sõnastust „lõpparuanne“, siis eelnõus säilitatakse kehtivas KüTSis olevat sõnastust
ehk kasutatakse sõna „raport“.
KüTS § 8 lõikega 81 määratakse kindlaks, et teenuse osutajad lähtuvad NIS2 direktiivi artikli 23
lõike 11 alusel antud Euroopa Komisjoni rakendusaktist, milles kehtestatakse nõuded
küberintsidendi, sealhulgas olulise mõjuga küberintsidendi, kohta esitatava teavituse või raporti
korra ja vormi kohta. Kui sedasorti rakendusakti vastu võetakse, siis tolles rakendusaktis
määratletud teenuse osutajad lähtuvad nimetatud rakendusaktis kehtestatud nõuetest.
Teadaolevalt kehtestab Euroopa Komisjon taolised erinõuded enda rakendusaktiga järgmiste
teenuse osutajate suhtes: domeeninimede süsteemi teenuse osutajad, tippdomeeninimede
registrid, pilvandmetöötlusteenuse osutajad, andmekeskusteenuse osutajad, sisulevivõrgu
pakkujad, hallatud teenuse osutajad, hallatud turbeteenuste osutajad (turbetarnijad),
internetipõhiste kauplemiskohtade, veebipõhiste (internetipõhiste) otsingumootorite ning
sotsiaalvõrguteenuse platvormide ja usaldusteenuse pakkujad.
90 / 151
Selle rakendusakti nimeks on: „Euroopa Komisjoni rakendusmäärus (EL) 2024/2690, 17.
oktoober 2024, millega kehtestatakse seoses domeeninimede süsteemi teenuse osutajate,
tippdomeeninimede registrite, pilvandmetöötlusteenuse osutajate, andmekeskusteenuse osutajate,
sisulevivõrgu pakkujate, hallatud teenuse osutajate, turbetarnijate ning internetipõhiste
kauplemiskohtade, internetipõhiste otsingumootorite, sotsiaalvõrguteenuse platvormide ja
usaldusteenuse pakkujatega direktiivi (EL) 2022/2555 kohaldamise eeskirjad, mis puudutavad
küberturvalisuse riskijuhtimismeetmete tehnilisi ja metoodilisi nõudeid ja selliste juhtude
täpsemat kindlaksmääramist, mille korral peetakse intsidenti oluliseks“. Vastav rakendusakt
(jõustus 07.11.2024) on leitav siit: https://eur-lex.europa.eu/legal-
content/ET/TXT/?uri=CELEX%3A32024R2690&qid=1730728447038.
Täiendav lisainfo sel teemal: https://ec.europa.eu/info/law/better-regulation/have-your-
say/initiatives/14241-Cybersecurity-risk-management-reporting-obligations-for-digital-
infrastructure-providers-and-ICT-service-managers_en ja https://eur-lex.europa.eu/legal-
content/ET/TXT/?uri=PI_COM:Ares(2024)4640447&qid=1728309190768.
KüTS § 8 lõige 9 tunnistatakse kehtetuks, kuna kehtiva KüTSi tähenduses digitaalse teenuse
osutajad (vt KüTS kehtiva versiooni § 4 lõiget 1) on edaspidi NIS2 direktiivi ja seeläbi ka KüTSi
kohaldamisalas, mistõttu puudub vajadus vastava sätte säilitamiseks.
KüTS § 8 lõige 10 on seotud erisuse sätestamisega julgeolekuasutuste kontekstis ehk on seotud
NIS2 direktiivi artikli 8 lõike 1 üle võtmisega (vt eelnõus KüTS § 5 lõiget 9). Kommenteeritava
lõikega tekitatakse selgus, et kellele teavitab julgeolekuasutus küberintsidendist ehk sellises
olukorras kohaldatakse eelnõus KüTS §-s 8 olevaid sätteid mutatis mutandis julgeolekuasutuste
suhtes.
KüTS § 81 lisandumisega säilitatakse KüTSi kehtiva versiooni § 8 lõike 4 sisu ning võetakse üle
NIS2 direktiivi artikkel 30. Kommenteeritava paragrahvi lõike 1 eesmärgiks on tekitada selgus,
et teenuse osutajad võivad vabatahtlikult esitada küberintsidentide, nõrkuste ja küberohtude kohta
teavet ning muud isikud võivad esitada teavet olulise mõjuga küberintsidendist, nõrkusest ja
küberohust. Küberohu ja nõrkuse olemuse osas vt eelnõu KüTS § 2 punkte 34 ja 36, ning olulise
mõjuga küberintsidendi osas KüTS § 8 lõiget 2, sh selles tehtavat lisandust.
Nõrkustest teavitamisega seonduvalt on siin asjakohased NIS2 direktiivi põhjenduspunktid 58–
63.
Lõikega 2 võetakse üle NIS2 direktiivi artikli 12 lõike 1 teise tekstilõike esimene ja teine lause.
Kommenteeritava lõike teise lause alusel tekitatakse juurdepääsupiirangu alus, mille pikkus
juriidilisest isikust teavitaja puhul on avaliku teabe seaduse § 40 lõike 1 kohaselt kuni viis aastat
(mida on võimalik pikendada kuni 5 aasta võrra) ning füüsilisest isikust teavitaja puhul on selle
pikkus avaliku teabe seaduse § 40 lõike 3 kohaselt 75 aastat. Kui vastavat juurdepääsupiirangu
alust ei tekitata, siis ei ole võimalik tagada NIS2 direktiivi artikli 12 lõike 1 teise tekstilõike
esimese ja teise lause kohast üle võtmist. Kommenteeritav lõige on piiratud ainult potentsiaalsest
nõrkusest või nõrkusest teavitamise olukordadega, kuna nende teavituste anonüümselt esitamine
91 / 151
on seotud mainitud NIS2 direktiivi artikli kohaselt ainult nimetatud olukordades. Seetõttu ei ole
kommenteeritavas lõikes märgitud ka küberintsidendist, olulise mõjuga küberintsidendist või
küberohust anonüümselt teavitamist.
Lõikega 3 võetakse üle NIS2 direktiivi artikli 30 lõike 2 esimese tekstilõike teine lause.
KüTS §-d 10 ja 11 tunnistatakse kehtetuks, kuna kehtiva KüTSi tähenduses digitaalse teenuse
osutajad (vt KüTSi kehtiva versiooni § 4 lõiget 1) on edaspidi täies mahus NIS2 direktiivi ja
seeläbi ka KüTSi kohaldamisalas ning lähtuvad KüTS §-dest 7 ja 8, mistõttu puudub vajadus
vastavate erisusi tekitavate paragrahvide säilitamiseks KüTSis.
KüTS § 12 lõikega 31 võetakse üle NIS2 direktiivi artikli 23 lõike 5 laused 1 ja 4. Tagasiside all
on mõeldud nii suunised kui ka nõu, kuidas olulise mõjuga küberintsidendiga edasi toimetada,
samuti ka juhiseid, kuidas konkreetse juhtumi korral teavitada õiguskaitseasutusi.
KüTS § 12 lõikega 32 võetakse üle NIS2 direktiivi artikli 30 lõike 2 esimese tekstilõigu teine
lause.
KüTS § 12 lõikes 4 tehakse tehniline muudatus (parandatakse esimese lauses Euroopa Liidu
Küberturvalisuse Ameti nimi) ning lisanduva teise lausega võetakse üle NIS2 direktiivi artikli 23
lõike 6 esimene ja teine lause ning kaudselt ka sama artikli lõige 8.
KüTS § 12 lõikega 41 võetakse üle NIS2 direktiivi artikli 23 lõike 9 esimene lause. Esmakordse
teavituse osas vt KüTS § 20 lõiget 5 ning sellega seotud selgitusi.
KüTS § 12 lõikes 5 tehakse muudatus, kuna kehtiva KüTSi tähenduses digitaalse teenuse
osutajad (vt KüTSi kehtiva versiooni § 4 lõiget 1) on edaspidi täies mahus NIS2 direktiivi ja
seeläbi ka KüTSi kohaldamisalas, mistõttu Riigi Infosüsteemi Amet peab niikuinii lähtuma ka
kehtiva KüTSi kohaste digitaalse teenuse osutajate huvidest ja ärisaladuse hoidmise kohustusest.
Seetõttu puudub vajadus dubleerivalt neid teenuse osutajad eraldi välja tuua.
Eelnõuga tekitatakse KüTS § 121., mis on seotud NIS2 direktiivi artikli 9 lõigetega 3–5 kui ka
põhjenduspunktidega 68–73.
KüTS § 121 lõikega 1 võetakse üle NIS2 direktiivi artikli 9 lõike 3, tehes viite KüTS §-le 12 kui
ka muudele valdkondlikele seadustele. Menetluslikud raamid kriisiolukorra (sh küberturvalisuse
valdkonnaga seotud kriisiolukorra) lahendamiseks on juba olemas hädaolukorra seaduses, mida
tulevikus asendab tsiviilkriisi ja riigikaitseseadus ehk need ongi „muud valdkondlikud seadused“.
Seetõttu puudub hetkel siinse eelnõuga vajadus ja võimalus seda teemat täiendavalt reguleerida.
KüTS § 121 lõikega 2 võetakse üle NIS2 direktiivi artikli 9 lõike 4 ja lõike 5 teine lause ehk
kommenteeritava lõikega antakse Riigi Infosüsteemi Ametile ülesannetena 1) koostada ja vastu
võtta ulatuslike küberintsidentide ning kriiside lahendamise kava, arvestades NIS2 direktiivi
artikli 9 lõikes 4 olevaid nõudeid ja 2) teavitada selle kava vastu võtmisest või kavas tehtavatest
muudatustest selles punktis toodud sätete kohaselt. Kommenteeritava lõikega on seotud ka NIS2
92 / 151
direktiivi artikli 9 lõike 5 kolmas lause ehk siin kohaldub ka KüTS § 12 lg 4 esimese lause lõpp
(„... kui edastatav teave ei kahjusta riigi julgeolekut või kriminaalmenetlust.“).
Kommenteeritav paragrahv on kaudselt seotud ka delegeeritud määruse 2024/1366 artikli 41
(küberkriisi ohjamise ja kriisile reageerimise kavad) lõikega 3: „3. Direktiivi (EL) 2022/2555
artikli 9 lõike 4 kohaselt nõutavat riiklikku ulatuslike küberturbeintsidentide ja kriiside
lahendamise kava loetakse käesoleva artikli kohaseks riiklikuks küberkriisi ohjamise kavaks, kui
selles sisalduvad piiriüleste elektrivoogude teemalised kriisiohje- ja reageerimismeetmed.“
KüTS § 121 lõike 3 eesmärk on määratleda, et kõnealuse kava võib teha ka muu dokumendi
osana ehk praktikas hädaolukorra seaduse (tulevikus tsiviilkriisi ja riigikaitseseaduse) ja selle
alusel kehtestatud määruse alusel koostatava hädaolukorra lahendamise plaanina või selle osana.
KüTS § 13 lõikes 1 tehtavad muudatused on seotud NIS2 direktiivi artiklitega 12 ja 30 (vt
eelnõus KüTS § 81), kuna nimetatud nõue näeb eelnõu puhul ette, et Riigi Infosüsteemi Ametile
esitatakse mh ka teavet küberohtude ja nõrkuste kohta, mistõttu nähakse kommenteeritavas
paragrahvis tehtavate muudatustega ette, et need kantakse küberintsidentide registrisse.
KüTS § 13 lõige 4 määratleb ära, mis asjaolud tuleb täpsustada küberintsidentide registri
põhimääruses, kuna kehtiv registri põhimääruse volitusnorm neid asjaolusid ei sisusta. Registri
põhimäärusega seotud muudatused on lisatud käesoleva eelnõu seletuskirja juurde valdkonna eest
vastutava ministri määruse kavandina.
KüTS §-s 131 tehtav muudatus on tehniline, kuna esimene viide määrusele 2019/881 tekitatakse
eelnõu tulemusena KüTS § 2 punktis 14.
KüTS § 133 on seotud NIS2 direktiivi artikli 24 üle võtmisega ja sellel on ka seos NIS2 direktiivi
põhjenduspunktidega 80–82 ja 138.
Kommenteeritava paragrahvi lõigetega 1 ja 2 võetakse üle viidatud artikli lõige 1. Eelnõuga
antakse vastav volitus Vabariigi Valitsusele, kuna määrusega sätestatud kohustuse järgijad ehk
teenuse osutajad ei pruugi olla ainult küberturvalisuse valdkonna eest vastutava ministri juhitava
ministeeriumi valitsemisala või tegevusvaldkonnaga seotud. Tegemist on lubava, mitte kohustava
volitusega ehk Vabariigi Valitsusel tekib võimalus vastav määrus kehtestada. Lõikes 1 on kaks
alternatiivi, et kuidas vastav kava on välja töötatud või koostatud ehk tegemist on kas: 1) teenuse
osutaja poolt välja töötatud või 2) see on hangitud kolmandalt isikult. Mõlema variandi korral on
vajalik, et selle teatava IKT-toodete, IKT-teenuste või IKT-protsesside kasutamine on
sertifitseeritud määruse 2019/881 artikli 49 kohaselt vastu võetud Euroopa küberturvalisuse
sertifitseerimise kava alusel.
Selles määruses määratakse lõike 2 kohaselt kindlaks ka selle kohustuse sisu (millist määruse
2019/881 artikli 49 kohaselt vastu võetud Euroopa küberturvalisuse sertifitseerimise kava tuleb
järgida), ulatust (kellele teenuse osutajatest ja mis ulatuses kitsas tähenduses see sertifitseerimise
kava kohaldub), täitmise tähtaeg (mis tähtajaks tuleb mingid toimingud ära teha) kui ka muud
täpsemad nõuded.
93 / 151
KüTS § 133 lõikega 3 tekitatakse erisus võrreldes lõike 1 alusel antava määruse suhtes
olukorraks, kui NIS2 direktiivi 24 lõike 2 alusel on Euroopa Komisjon vastu võtnud delegeeritud
õigusakti, milles määratakse kindlaks, mis liiki elutähtsatelt ja olulistelt üksustelt (ehk teenuse
osutajatelt) nõutakse teatavate IKT-toodete, IKT-teenuste ja IKT-protsesside kasutamist või
sertifikaadi omamist. Need delegeeritud õigusaktid võetakse vastu juhul, kui on kindlaks tehtud,
et küberturvalisuse tase ei ole piisav, ja nendega nähakse ette rakendusperiood. Enne selliste
delegeeritud õigusaktide vastuvõtmist teeb Euroopa Komisjon mõjuhinnangu ja korraldab
konsultatsioone kooskõlas määruse 2019/881 artikliga 56.
KüTS § 14 lõige 2 tunnistatakse kehtetuks, kuna kehtiva KüTSi tähenduses digitaalse teenuse
osutajad (vt KüTSi kehtiva versiooni § 4 lõiget 1) on edaspidi NIS2 direktiivi ja seeläbi ka täies
mahus KüTSi kohaldamisalas ning Riigi Infosüsteemi Amet teostab nende üle järelevalvet
samade aluste kohaselt nagu ka teiste teenuse osutajate puhul. Tehtav muudatus on teatavas
ulatuses seotud ka NIS2 direktiivi artikliga 26 (jurisdiktsioon ja territoriaalsus) rakendamisega,
mis võetakse üle eelnõus KüTS §-ga 11 ehk siinses paragrahvis puudub vajadus säilitada seda
teemat reguleeriv dubleeriv õigusnorm.
KüTS § 14 lõikesse 5 lisatakse teine lause, et tekitada selgus, mis õigusnorme ja nendega seotud
selgitusi kohaldatakse mutatis mutandis julgeolekuasutuse suhtes, kui ta teostab sama lõike
esimese lause kohaselt haldusjärelevalvet. Seetõttu ei ole ka viidatud õigusnormide selgitustes üle
korratud, et vastavat sätet kohaldatakse ka julgeolekuasutuse suhtes.
KüTS § 14 lõigetes 6-14 tehtavad lisandused on seotud järelevalve teostamise aspektide kindlaks
määramisega. Siin on seos ka NIS2 direktiivi põhjenduspunktidega 122–127 ja 133–135.
KüTS § 14 lõikes 6 määratakse kindlaks üldised raamid, kuidas Riigi Infosüsteemi Amet teostab
järelevalvet. Kommenteeritava lõike esimese punktiga võetakse üle NIS2 direktiivi artikli 31
lõige 2. Sarnast triaaži teeb Riigi Infosüsteemi Amet ka korrakaitseseaduse § 24 alusel tehtava
ohuprognoosi alusel, kuid kuna korrakaitseseaduse alusel tehtav ohuprognoos on kohaldatav
ainult erasektori ehk halduseväliste isikute suhtes ja NIS2 direktiiv on mõeldud kohalduma ka
avaliku sektori suhtes, siis tuleb volitus Riigi Infosüsteemi Ametile anda laiemalt kui see, mida
näeb ette korrakaitseseadus. Siiski, on kommenteeritavas lõikes märgitud ka ohuprognoos, et
oleks üheselt selge, et see on ka üks lähenemisviis, millest lähtuvalt Riigi Infosüsteemi Amet
enda tööd planeerib.
Kommenteeritava lõike teise punktiga võetakse üle NIS2 direktiivi artikli 32 lõige 1 ehk
sätestatakse nõue, et elutähtsate üksuste suhtes teostatav järelevalve toimub üldreeglina ennetava-
või järelkontrollina (ex nunc või ex post). Siin vt ka NIS2 direktiivi põhjenduspunkte 122 ja 124.
Kommenteeritava lõike kolmanda punktiga võetakse üle NIS2 direktiivi artikli 33 lõike 1
esimene lause ehk oluliste üksuste suhtes teostatav kontroll on üldreeglina järelkontroll (ex post)
olukorras, kus saabub teave, et turvameetmete rakendamisega on probleeme või pole näiteks
teavitatud olulise mõjuga küberintsidendist. Siin vt ka NIS2 direktiivi põhjenduspunkte 122 ja
124.
94 / 151
Kommenteeritava lõike neljas punkt on seotud NIS2 direktiivi artikli 32 lõike 1 ja artikli 33
lõike 1 kohase rakendamisega, sh toetab see ka kommenteeritava lõike punkti 1 (järelevalvet
prioriseerimisel arvestatakse riski- või ohuprognoosi) alusel edasiste tegevuste ellu viimist
järelevalve teostamisena Riigi Infosüsteemi Ameti enda initsiatiivil.
KüTS § 14 lõikega 7 võetakse üle NIS2 direktiivi artikli 32 lõige 1 ja lõige 7 ning artikli 33 lõike
1 teine lause koos lõikega 5 ehk kommenteeritavas lõikes määratakse kindlaks need asjaolud ja
aspektid, millest lähtutakse riiklikus ja haldusjärelevalve menetluses meetmete kohaldamisel.
Kommenteeritava lõike punktis 8 on kinnitatud tegevusjuhendite järgimise all mõeldud näiteks
olukorda, kus tuleb järgida isikuandmete kaitse üldmääruse artikli 40 alusel vastu võetud
toimimisjuhendi järgimist. Kommenteeritava lõike punktis 9 on ette nähtud, et üheks asjaoluks on
mh ka järelevalveasutuse (Riigi Infosüsteemi Ameti või julgeolekuasutuse) ning teenuse osutaja
vahel toimuvat koostööd. Too punkt on seotud NIS2 direktiivi § 32 lõike 7 punktiga h, kuid selle
sõnastus ei anna täit selgust, et kas siin on eelnõu kontekstis mõeldud teenuse osutajat või selle
teenuse osutaja enda sees olevat või temaga seotud füüsilist või juriidilist isikut. Seetõttu on
nimetatud punkt sõnastatud viisil, et tegemist on koostööga järelevalveasutuse ja teenuse osutaja
vahel.
KüTS § 14 lõikega 8 võetakse üle NIS2 direktiivi artikli 32 lõike 7 punkti a alapunktid i–v.
Tegemist on alternatiivsete olukordadega, millal on tegemist raske rikkumisega KüTS § 14 lg 7
punkti 1 tähenduses. Kommenteeritava lõike punktis 6 on „lubamatult ebatäpsete andmete“ puhul
mõeldud olukorda, kus mingi teave on jäetud teadlikult ja põhjendamatult esitamata või
rääkimata.
KüTS § 14 lõikega 9 võetakse üle NIS2 direktiivi artikli 32 lõiked 2 ja 4 ning artikli 33 lõiked 2
ja 4 ehk sätestatakse need meetmed, mida Riigi Infosüsteemi Amet saab kasutada riikliku ja
haldusjärelevalve menetluses KüTSi alusel. Kommenteeritavas lõikes olevate punktide sisu võib
sõltuda sellest, et kas tegemist on olukorraga, kus mingi meede on kohaldatav teenuse osutajale
(ehk nii elutähtsale üksusele ja olulisele üksusele) või ainult elutähtsale üksusele. Kui mingis
NIS2 direktiivi sättes on kasutatud sõnastust „korraldus“ või „siduvad juhised“, siis eelnõus on
selle all mõeldud ettekirjutust. Enne ettekirjutuse tegemist on järelevalve teostajal võimalik teha
ka ettepanek teenuse osutajale viia oma tegevus kooskõlla õiguslike nõuetega, sh selle ettepaneku
sisu oleks oma olemuselt samas sõnastuses kui on ettekirjutus, kuid sellega antakse ka ära
kuulamise ning vastuväidete esitamise võimalus ning seeläbi ka võimalus lahendada võimalikud
rikkumised ettekirjutuseta. Olenevalt olukorra asjaoludest võib järelevalve asutusel tekkida
vajadus ka anda koheselt ettekirjutus enne nö ettepanekut rikkumine lõpetada või probleemsed
asjad korda teha. Selles olukorras peab järelevalve teostaja hindama, mis on sobivaim meede
saavutatava eesmärgi saavutamiseks.
Kommenteeritava lõike punktides 1, 4, 5, 6, 9 ja 10 on viidatud lisaks KüTSile ka NIS2
direktiivi alusel antavatele rakendusaktidele, kuna nendes rakendusaktides võidakse määratleda
või täpsustada neid üldisemaid nõudeid, mis võetakse üle KüTS §-desse 7 ja 8.
95 / 151
Kommenteeritava lõike punktiga 1 võetakse üle NIS2 direktiivi artikli 32 lõike 2 punktid a ja c
ning artikli 33 lõike 2 punkt a. Kommenteeritava punkti kohaselt võib teenuse osutaja suhtes läbi
viia kohapealset kontrolli või kaugjärelevalvet. Elutähtsate üksuste suhtes võib teha ka pistelist
järelevalvet, mis võib olla muuhulgas ajendatud olulise mõjuga küberintsidendist või KüTSis,
KüTSi alusel (näiteks KüTS § 7 lõike 5 alusel) kehtestatud või NIS2 artikli 21 lõike 5 või artikli
23 lõike 11 alusel vastu võetud rakendusaktis kehtestatud nõude rikkumisest. Selle pistelise
järelevalve all on mõeldud ka NIS2 direktiivi artikli 32 lõike 2 punktis c ette nähtud ad hoc
auditeid.
NIS2 direktiivi artiklid 32 ja 33 eristavad kolme liiki auditeid – regulaarsed, sihipärased ja ad hoc
auditid (inglise keeles vastavalt regular, targeted and ad hoc audits). Nende rakendamine
praktikas sõltub konkreetsest olukorrast – regulaarseid auditeid tehakse teatava ajavahemiku
tagant; sihipärast auditit tehakse siis, kui järelevalveasutuse või auditeeritud organisatsiooni
koostatud riskianalüüsi või muu asjakohase teabe põhjal on tekkinud vajadus auditit teha. Ad hoc
audit on ennekõike olukorras, kus auditi tegemine ei ole ette planeeritud ning seda tehakse
konkreetse eesmärgi või vajaduse rahuldamiseks. Kommenteeritavas punktis on sõnastuse mõttes
elutähtsate üksuste puhul kasutatud sõnastust „pisteline järelevalve“, et see hõlmaks nii sihipärast
kui ka ad hoc auditit.
Kommenteeritava lõike punktiga 2 võetakse üle NIS2 direktiivi artikli 32 lõike 2 punkt b ja
artikli 33 lõike 2 punkt b, kommenteeritava lõike punktiga 3 võetakse üle NIS2 direktiivi artikli
32 lõike 2 punkt d ja artikli 33 lõike 2 punkt c. Kommenteeritava lõike punktides 2 ja 3 on
märgitud vastavalt sõnad „turvaaudit“ (inglise keeles: security audit) ja „turvalisuse kontroll“
(inglise keeles: security scan), mis on oma sisult erinevad tegevused. Näiteks on turvaauditit
defineeritud AKIT-i kohaselt rahvusvahelises standardites ISO 7498 ja ISO/IEC 2382 kui:
„süsteemi andmike ja toimingute sõltumatu läbivaatus ja uurimine süsteemi turvameetmete
adekvaatsuse kontrolliks, kehtivatele poliitikale ja tööprotseduuridele vastavuseks, turvarikete
avastamiseks ning võimalike järelduvate meetme-, poliitika- ja protseduurimuudatuste
soovitamiseks“.41 Samas on turvalisuse kontroll oma sõnastuse mõttes erinev kui turvaaudit ehk
esimese puhul tehtava toimingu puhul ei minda niivõrd sügavuti kontrollimisega (nt ei kontrollita
mingit süsteemi lähtekoodi tasandil42 – seetõttu on ka eelnõus tekitatud erinevad punktid
vastavate volituste kontekstis. Samas ei ole nende kahe punkti puhul mõeldud ainult nõrkuste
tuvastamist (võrdle NIS2 direktiivi artikli 11 lõike 3 punkti e ja seda üle võtvat KüTS § 5 lõike 5
punkti 11), vaid laiemat kontrolli järelevalvemenetluse raames tuvastamaks, et kas KüTSis
sätestatud, selle alusel või NIS2 direktiivi artikli 21 lõike 5 või artikli 23 lõike 11 alusel
kehtestatud nõudeid on rikutud.
Kommenteeritava lõike punktiga 4 võetakse üle NIS2 direktiivi artikli 32 lõike 4 punkt a ja
artikli 33 lõike 4 punkt a.
41 https://akit.cyber.ee/term/301-turvaaudit. 42 Vt turvalisuse kontrolli selgituse osas nt: https://www.lawinsider.com/dictionary/security-scan.
96 / 151
Kommenteeritava lõike punktiga 5 võetakse üle NIS2 direktiivi artikli 32 lõike 4 punkt b ja
artikli 33 lõike 4 punkt b, sh on kommenteeritavas punktis sätestatud „nõutakse ettekirjutuse
saajalt lõpetada tegevus või praktika, mis rikub [õigusaktis või selle alusel kehtestatud nõuet]“ ja
sellele lisaks saab nõuda ka „hoiduda sama tegevuse või praktika kasutamisest“. Kuigi viidatud
NIS2 direktiivi sätetes on sätestatud ka heastamist, siis see on kaetud õigusaktides või selle alusel
kehtestatud nõuete rikkumisega seotud puuduste kõrvaldamisega.
Kommenteeritava lõike punktiga 6 võetakse üle NIS2 direktiivi artikli 32 lõike 4 punkt d ja
artikli 33 lõike 4 punkt d.
Kommenteeritava lõike punktiga 7 võetakse üle NIS2 direktiivi artikli 32 lõike 4 punkt e ja
artikli 33 lõike 4 punkt e. Kommenteeritava lõike punktiga 8 võetakse üle NIS2 direktiivi artikli
32 lõike 4 punkt f ja artikli 33 lõike 4 punkt f. Kommenteeritava lõike punktiga 9 võetakse üle
NIS2 direktiivi artikli 32 lõike 4 punkt h ja artikli 33 lõike 4 punkt g.
Kommenteeritava lõike punktid 7 ja 9 võivad tunduda, et tegemist on sisult samade teemade
reguleerimisega, kuid tegelikkuses nii ei ole. KüTS § 14 lg 9 punktid 7 ja 9 on sisu mõttes
teatavas ulatuses eelduslikult kattuvad, kuid nendes punktides on ka nõudeid, mis on erinevad –
näiteks p 7 viitab ka parandusmeetmete info avalikustamise kohustusele, kuid p 9 seda aspekti ei
kata; samuti on p 7 olev teavitus väheke kitsam ehk seal ei ole ilmtingimata/alati mõeldud laiema
avalikkuse teavitamist, kuid p 9 on pigem seotud laiema avalikkuse teavitamisega.
Kommenteeritava lõike punkt 7 viitab eelnõus KüTS § 8 lõikele 5, mille sisu on (eelnõu
tulemusena): „Teenuse osutaja on kohustatud teavitama mõistliku aja jooksul isikut, keda olulise
mõjuga küberintsident või oluline küberoht võib mõjutada, või avalikkust, kui mõjutatud isikuid
ei ole võimalik eraldi teavitada. Teavituses annab teenuse osutaja võimalusel teada olulisest
küberohust ja meetmetest või parandusmeetmetest, mida mõjutatud isik saab olulisele küberohule
reageerimiseks võtta.“
Kommenteeritava lõike punkt 9 viitab eelnõus KüTS § 14 lõike 9 punktile 9, mille sisu on eelnõu
kohaselt: „ettekirjutuse, millega nõutakse ettekirjutuse saajalt käesolevas seaduses, käesoleva
seaduse alusel või Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 artikli 21 lõike 5
või artikli 23 lõike 11 alusel vastu võetud rakendusaktis kehtestatud nõude rikkumise asjaolude
avalikustamist ettekirjutuses ette nähtud viisil“.
Kommenteeritava lõike punktiga 10 võetakse üle NIS2 direktiivi artikli 32 lõike 4 punkt g, mis
on omane ainult elutähtsate üksuste korral ehk taolist meedet ei ole ette nähtud NIS2 artiklis 33
oluliste üksuste puhul. Üle võetava NIS2 direktiivi sätte eestikeelses tõlkes on märgitud sõna
„seireametnik“, kuid eelnõus on selle sõnastuse asemel kasutatud sõnastust „vastavushaldur“.
Selle sisu on selgitatud näiteks Eesti infoturbestandardi portaali rollisõnastikus kui
„organisatsioonile kohaldatavate õiguslike, lepinguliste ja muude nõuete väljaselgitaja ning
97 / 151
nende täitmise kontrollija (ingl Compliance Manager)“. 43 Vastavas ettekirjutuses tuleks ka
selgelt ära määratleda, mis on vastavushalduri ülesanded.
Nimetatud NIS2 sätte volitust saaks tõlgendada ka nii, et pädev asutus määrab ettekirjutusega
kindlaks konkreetse vastavushalduri, kes jälgib, kas ettekirjutuse adressaat täidab vajalikud
nõuded. Tolle tõlgenduse puhul ei oleks seda paindlikkust, et ettekirjutuse adressaat ise saaks
valida ja määrata kindlaks vastavushaldur, kes ettekirjutusega kindlaks määratud ülesannet
täidab. Seetõttu on kasutatud eelnõus olevat sõnastust ja tõlgendust.
KüTS § 14 lõikega 10 võetakse üle NIS2 direktiivi artikli 32 lõike 2 esimese tekstilõike punkt b
ja kolmas tekstilõik ning artikli 33 lõike 2 punkt b ja kolmas tekstilõik. Kommenteeritava lõike
esimene punkt on seotud NIS2 direktiivi artikli 32 lõike 2 punktis b olevate sõnaga
„korrapäraseid“ ehk see nõue saab kehtida ainult elutähtsa üksuse suhtes, kuna sama sõna ei ole
artikli 33 lõike 2 punktis b ehk oluliste üksuste suhtes.
KüTS § 14 lõikega 11 võetakse üle NIS2 direktiivi artikli 32 lõike 4 punkt b, kus on lauseosa
„sealhulgas meetmete kohta, mis on vajalikud intsidendi ennetamiseks või heastamiseks, nende
meetmete rakendamise tähtaegade ja rakendamisest aruandmise kohta“, mis kehtib ainult
elutähtsate üksuste suhtes. Oluliste üksuste puhul sarnast lauseosa NIS2 direktiivi artikli 33 lõike
4 punktis b ei ole.
KüTS § 14 lõigetega 12-14 võetakse üle NIS2 direktiivi artikli 32 lõige 5 ning need lõiked
kehtivad ainult elutähtsate üksuste suhtes. Lõikes 12 olev olukord võib näiteks tekkida siis, kui
järelevalvatav teenuse osutaja ei ole järjepidevalt tema suhtes tehtud hoiatusi järginud või
ettekirjutusi täitnud, kuid need ei anna tulemust ehk neid järjepidevalt ei täideta. Nendes lõigetes
sätestatud meetmete kasutamiseks peab Riigi Infosüsteemi Amet hindama, kas need on kõige
sobivamad meetmed konkreetses olukorras tekkinud probleemi lahendamiseks ehk tegemist ei
saa olla kergekäeliselt kasutatavate meetmetega.
Siinsete lõigetega on seotud ka NIS2 direktiivi põhjenduspunkt 133:
„(133) Et veelgi suurendada kohaldatavate täitemeetmete tõhusust ja hoiatavust [NIS2 direktiivi]
rikkumiste korral, peaks pädevatel asutustel olema õigus ajutiselt peatada või nõuda, et ajutiselt
peatataks elutähtsa üksuse osutatavate mõnede või kõigi asjakohaste teenuste või pakutavate
tegevuste sertifikaat või luba, ning nõuda, et füüsilisele isikule, kes täidab juhtimisülesandeid
üksuse tegevjuhi või seadusliku esindaja tasandil, kehtestataks ajutine juhtimisülesannete
täitmise keeld. Võttes arvesse ajutiste peatamiste ja keeldude karmust ja mõju üksuste tegevusele
ning seeläbi ka nende tarbijatele, tuleks neid kohaldada alati proportsionaalselt rikkumise
raskusega ning iga juhtumi konkreetseid asjaolusid silmas pidades, sealhulgas seda, kas
rikkumine oli tahtlik või tulenes ettevaatamatusest, ning seda, milliseid meetmeid varalise või
mittevaralise kahju vältimiseks või vähendamiseks võeti. Selliseid ajutisi peatamisi ja keelde
tuleks kohaldada üksnes viimase abinõuna, nimelt alles pärast seda, kui muud [NIS2 direktiivis]
43 https://eits.ria.ee/et/versioon/2023/eits-poohidokumendid/rollisoonastik.
98 / 151
sätestatud asjakohased täitemeetmed on ammendatud, ja ainult seni, kuni üksus, kelle suhtes neid
kohaldatakse, võtab vajalikud meetmed puuduste kõrvaldamiseks või täidab pädeva asutuse need
nõuded, millega seoses niisuguseid ajutisi peatamisi ja keelde kohaldati. Selliste ajutiste
peatamiste või keeldude määramise suhtes peaks kohaldama kooskõlas liidu õiguse
üldpõhimõtete ja hartaga asjakohaseid menetluslikke tagatisi, sealhulgas õigust tõhusale
õiguskaitsevahendile ja õiglasele kohtumenetlusele, süütuse presumptsiooni ja kaitseõigust.“
Kommenteeritava paragrahvi lõike 13 punktis 1 märgitud sertifikaadi all mõeldakse mõnda
sertifikaati, mis on näiteks seotud küberturvalisuse tagamisega, järgimise või täitmisega ehk siin
ei saa nõuda ettekirjutusega selle sertifikaadi ajutist peatamist, mis pole seotud KüTSis olevate
nõuete täitmisega. Samas punktis mainitud loa all on mõeldud näiteks majandustegevuse registris
oleva loa peatamise nõudmist ettekirjutusega. Tolle punkti kohaselt võib sama toimingu teha ka
Riigi Infosüsteemi Amet, kui talle on antud vastav pädevus mõnest õigusaktist.
Kommenteeritava paragrahvi lõike 13 punkt 2 on sõnastatud krediidiasutuste seaduse § 50 lõike 1
eeskujul, kuid eelnõuga ei määratleta need konkreetsed olukorrad, millal võidakse elutähtsa
üksuse juhatuse liikme volituste ajutist peatamist taotleda ettekirjutusega, kuna seda ei täpsustata
ka NIS2 direktiivis. Need konkreetsemad olukorrad ja põhjendused tuleb ära määratleda KüTS §
14 lõike 13 alusel tehtavas ettekirjutuses.
Kommenteeritava paragrahvi lõike 14 kohaselt:
1) kohaldatakse lõikes 13 ette nähtud meetmeid, kuni elutähtis üksus võtab kasutusele vajalikud
meetmed puuduste kõrvaldamiseks või Riigi Infosüsteemi ameti esitatud nõuete täitmiseks; või
2) neid meetmeid ei kohaldata keskvalitsuse avaliku halduse üksuse või kohaliku tasandi avaliku
halduse üksuse suhtes, sealhulgas juhul, kui sama üksus on kvalifitseeritud usaldusteenuse
osutaja.
Kommenteeritava paragrahvi lõigetes 13 ja 14 olevaid täitemeetme õigusi ei anta
julgeolekuasutusele (vt eelnõus KüTS § 14 lõiget 5), kuna NIS2 direktiivi artikli 32 lõike 5
kolmanda tekstilõike kohaselt „ei kohaldata tolles lõikes sätestatud täitemeetmeid nende avaliku
halduse üksuste suhtes, kelle suhtes kohaldatakse NIS2 direktiivi“. Kuna julgeolekuasutus saab
teha ainult haldusjärelevalvet ehk teha vastavat järelevalvet avaliku halduse üksuse suhtes, siis ei
ole võimalik kommenteeritava paragrahvi lõigetes 13 ja 14 sätestatud õigusi anda ka
julgeolekuasutusele. Samas antakse julgeolekuasutusele eelnõuga lisanduva KüTS § 14 lõike 5
teise lause tõttu kommenteeritava paragrahvi lõikes 12 olev õigus määratleda täiendav tähtaeg,
kui sama paragrahvi lõike 9 punktis 4–6 või 8 nimetatud ettekirjutust ei täideta tähtaegselt.
KüTS § 15 lõikes 2 tehtava täiendustega lisatakse Riigi Infosüsteemi Ametile täiendav õigus
kasutada korrakaitseseaduse §-s 53 sätestatud erimeedet (hoiulevõetud vallasasja müümine või
hävitamine) olukorras, kus toimub riiklik järelevalve, kas:
a) KüTS §-des 7 ja 8 ning nende alusel kehtestatud õigusaktide nõuete täitmise üle; või
99 / 151
b) NIS2 direktiivi artikli 21 lõike 5 või artikli 23 lõike 11 alusel vastu võetud rakendusaktis
kehtestatud nõuete täitmise üle.
Riigi Infosüsteemi Ametil on juba kommenteeritava lõike kohaselt õigus kasutada
korrakaitseseaduse §-s 52 olevat erimeedet (vallasasja hoiulevõtmine), kuid senini puudub volitus
kasutada korrakaitseseaduse §-s 53 olevat erimeedet. Need kaks erimeedet on üksteisega seotud,
mistõttu lisatakse kommenteeritavasse lõikesse ka korrakaitseseaduse §-s 53 ette nähtud
erimeede.
Kommenteeritavat lõiget täiendatakse mh ka viitega NIS2 direktiivi artikli 21 lõike 5 või artikli
23 lõike 11 alusel võetud rakendusaktidele, kuna nimetatud rakendusaktid võimaldavad
määratleda ja täpsustada neid nõudeid, mis siinse eelnõuga saavad KüTS §-des 7 ja 8 sätestatud.
Kui vastavat lisandust ei tehta, siis puuduks võimalus nende rakendusaktide alusel kehtestatud
nõuete täitmise kontrollimisel kasutada riiklikus järelevalvemenetluses korrakaitseseaduse §-des
52 (vallasasja hoiulevõtmine) ja 53 (hoiulevõetud vallasasja müümine või hävitamine)
erimeetmeid.
Kommenteeritava lõikega seotud erimeetmeid ei ole võimalik kasutada julgeolekuasutusel, kuna
ta ei teosta riiklikku järelevalvet, sh kommenteeritavas lõikes viidatud nõuete täitmise üle (vt ka
eelnõu KüTS § 14 lõiget 5). Samuti ei ole nende erimeetmete kasutamise õigus Tarbijakaitse ja
Tehnilise Järelevalve Ametil, kuna nimetatud amet ei teosta järelevalvet kommenteeritavas lõikes
viidatud nõuete täitmise üle (vt ka KüTS § 14 lõiget 4).
KüTS §-s 171 tehtavad muudatused on seotud sunniraha kui meetme võimaluse laiendamisega ka
haldusjärelevalvemenetlusele kui ka sunniraha kohaldamise ülemmäära muutmisega.
Muudatused on seotud ka NIS2 direktiivi 6 üle võtmise ja kohase rakendamisega: „Liikmesriigid
võivad näha ette õiguse määrata sunniraha, mille eesmärk on sundida elutähtsat või olulist
üksust käesoleva direktiivi rikkumist lõpetama, kooskõlas pädeva asutuse eelneva otsusega.“
NIS2 direktiiv täiendavalt sunniraha kohta midagi ei selgita, sh selles ei ole määratletud ka selle
ülemmäär ega selle kindlaks määramise tingimused. Nii elutähtsate üksuste (NIS2 direktiivi
artikli 32 lõige 1) kui ka oluliste üksuste (NIS2 direktiivi artikli 33 lõige 1) puhul järelevalve- ja
täitemeetmete osas ette antud nõue, et need meetmed peavad olema mõjusad, proportsionaalsed
ja heidutavad ning et nende puhul võetakse arvesse iga üksikjuhtumi asjaolusid. Kuigi NIS2
direktiivis ei ole sõnaselgelt samade nõuete kohaldamist märgitud ka sunniraha kontekstis, on
võimalik nimetatud nõudeid omistada ka olukorras, kus on vajadus sunniraha rakendada. Seda
enam, kui arvestada asjaolu, et Eesti õiguses on sunniraha kui instituut osa haldusmenetlusest, st
riiklikust ja haldusjärelevalvemenetlusest.
Sunniraha on haldussunnivahend ning selle sisu on asendustäitmise ja sunniraha seaduse § 10
lõike 1 kohaselt: hoiatuses kindlaksmääratud summa, mille peab adressaat tasuma, kui ta
ettekirjutusega pandud kohustust hoiatuses märgitud tähtaja jooksul ei täida.
Eelnõuga laiendatakse sunniraha määramise võimalust ka KüTSi alusel ka haldusjärelevalve
menetluses eelnõuga sätestatud suuruses. See siiski ei tähenda, et vastavat õigust ei ole ka praegu
100 / 151
– Vabariigi Valitsuse seaduse § 751 lõige 4 reguleerib haldusjärelevalve teostamist teise
haldusekandja üle, mille korral on sunniraha ülemmäär 9600 eurot. Eelnõuga ühtlustatakse
KüTSi alusel tehtava sunniraha kui ka haldusjärelevalve käigus kasutatava sunniraha ülemmäär
ning sätestatakse see ühes õigusaktis ehk KüTSis. Arvestades NIS2 direktiiviga lisanduvate
haldustrahvide (mis võetakse üle väärteokoosseisudena) ülemmäärade suurusi, ei ole kohane jätta
sunniraha suurused samale tasemele nagu on kehtivad seadused ette näevad (riiklikus järelevalves
kuni 20 000 eurot ja haldusjärelevalves kuni 9600 eurot).
Ka isikuandmete kaitse seaduse §-s 60 on sätestatud sunniraha ülemmäär, mis on suurem kui
Vabariigi Valitsuse seaduses. Tolle paragrahvi puhul on isikuandmete kaitse seaduse
seletuskirja44 lk-l 46 sedastatud järgmist: „Eelnõu paragrahviga 59 kehtestatakse sunniraha
ülemmääraks kuni 20 000 000 eurot või ettevõtja puhul kuni 4 protsenti tema eelneva
majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.
Sunniraha ülemmäär on siis sama suur kui väärteokaristuse ülemmäär ning võimaldab
Andmekaitse Inspektsioonil efektiivselt sekkuda isikuandmete töötlemise nõuete rikkumisel.“
Kommenteeritava paragrahvi puhul on sunniraha ülemmäära määratlemisel lähtutud asjaolust, et
NIS2 direktiivi artiklis 34 olevate haldustrahvide suurused on erinevad samade rikkumiste eest
ehk nende suurused sõltuvad asjaolust, kas rikkumise toimepanija on elutähtis üksus või oluline
üksus (vt allpool KüTS §-e 182 ja 183 seletust). Need halduskaristused võetakse üle
väärteokoosseisudena ning soov on vältida olukorda, kus väärteokoosseisuga määratava trahvi
ülemmäär on väiksem kui sunniraha ülemmäär – see on olukorras, kus sunniraha ülemmäär
määratakse kindlaks elutähtsa üksusega seotud trahvi suurusest, kuid sunniraha adressaat on
oluline üksus, kelle rahatrahvi ülemmäär on väiksem kui elutähtsal üksusel. Seetõttu on eelnõus
sätestatud, et ettekirjutuse täitmata jätmise korral on asendustäitmise ja sunniraha seaduses
sätestatud korras rakendatava sunniraha kohaldamise igakordne ülemmäär kas (olenevalt sellest,
kumb summa on suurem):
a) 7 000 000 eurot või
b) kuni 1,4 protsenti teenuse osutaja omanikust ettevõtja eelmise majandusaasta ülemaailmsest
aastasest kogukäibest.
Sunniraha ülemmäära valik sõltub siis ka sellest, et 1) kas tegemist on ettevõtja või avaliku
sektoriga (viimase ehk keskvalitsuse avaliku halduse üksuse kui ka kohaliku tasandi avaliku
halduse üksuse puhul ei kohaldu variandis b olev protsendiga arvutatav ülemmäär) ning 2) kumb
summa on suurem (see aspekt on omane ennekõike erasektoris oleva teenuse osutaja korral).
Alternatiiv on ka määratleda sunniraha ülemmäär nii nagu on isikuandmete kaitse seaduses ehk
kõige suurema rahatrahvi ülemmäära eeskujul. Eelnõu koostajatena ootame tagasisidet, kas sama
lähenemist tuleks rakendada ka siinse eelnõu puhul.
44 Isikuandmete kaitse seadus 679 SE - kättesaadav: https://www.riigikogu.ee/tegevus/eelnoud/eelnou/5c9f8086-
b465-4067-841e-41e7df3b95af/. Riigikogusse esitatud eelnõul kandis see paragrahv numbrit 59, kuid Riigikogus
toimunud arutelude käigus lisati teise lugemise käigus juurde § 11, mille tõttu paragrahvide numeratsioon muutus.
101 / 151
Sunniraha rakendamisel tuleb arvestada proportsionaalsuse põhimõttega. Sunniraha võib
rakendada vaid ettekirjutuse täitmisele kallutamiseks. Sunnivahendit ei tohi rakendada
karistusena. Haldusorgan peab valima sunnivahendi, mis isikut võimalikult vähe kahjustades
sunnib teda ettekirjutust täitma. Proportsionaalsuse hindamisel võib arvesse võtta ka ettekirjutuse
olulisust, rikkumise asjaolusid ja isiku majanduslikku seisundit.45 Kohustuse täitmise tagamiseks
kasutatakse leebeimat sunnivahendit ja -määra, mis eelduste kohaselt on tõhusaimad.
Haldusorgan peab valima sunnivahendi, mis isikut võimalikult vähe kahjustades sunnib teda
täitma talle ettekirjutusega pandud kohustust (asendustäitmise ja sunniraha seaduse § 3 lõige 3).
Seetõttu peab järelevalve teostaja (Riigi Infosüsteemi Amet, julgeolekuasutus ning Tarbijakaitse
ja Tehnilise Järelevalve Amet) sunniraha määramisel hindama, millises määras sunniraha
rakendamine on Eesti kontekstis proportsionaalne.
KüTS §-ga 173 võetakse üle NIS2 direktiivi artikli 26 lõige 5 ja artikkel 37 ning selles antakse
vastavad õigused ja kohustused ainult Riigi Infosüsteemi Ametile, kuna vastastikuse abiga seotud
menetlused on oma olemuselt seotud ennekõike seotud teenustega, mida osutavad erasektoris
olevad KüTSi teenuse osutajad. Seetõttu ei ole võimalik vastavaid õigusi ja kohustusi anda
julgeolekuasutuste (vt KüTS § 14 lg 5) suhtes. Kuna Tarbijakaitse ja Tehnilise Järelevalve
Ametile (vt KüTS § 14 lõiget 4) ei anta täiendavaid järelevalvevolitusi seoses NIS2 direktiiviga,
siis ka nimetatud ametile ei anta vastastikuse abiga seotud õigusi ja kohustusi. Kommenteeritava
paragrahviga on seotud ka NIS2 direktiivi põhjenduspunktid 134 ja 135.
KüTS § 173 lõikega 1 võetakse üle NIS2 direktiivi artikli 37 lõike 1 esimese tekstilõigu esimene
lause. Selle kohaselt teevad Riigi Infosüsteemi Amet ja välisriigis NIS2 direktiivi artikli 8 alusel
nimetatud pädevad asutused koostööd asjakohase teabe vahetamiseks ning vajaduse korral
abistavad üksteist, kui teenuse osutaja osutab teenuseid:
a) mitmes Euroopa Liidu liikmesriigis; või
b) ühes või mitmes Euroopa Liidu liikmesriigis, kuid tema võrgu- ja infosüsteemid asuvad ühes
või mitmes muus liikmesriigis.
KüTS § 173 lõikega 2 võetakse üle NIS2 direktiivi artikli 37 lõike 1 esimese tekstilõigu punktid
b ja c ning teise tekstilõigu esimene lause. Kommenteeritavas lõigus on kasutatud NIS2 direktiivi
vastavas tekstis oleva sõna „teabenõue“ asemel sõna „teabepäring“, kuna teabenõue on
sõnastatud avaliku teabe seaduse §-s 6 ning NIS2 direktiivis kasutatava sõna olemus ei lähe
kokku avaliku teabe seaduse teabenõudega.
KüTS § 173 lõikega 3 võetakse üle NIS2 direktiivi artikli 37 lõike 1 esimese tekstilõigu punkt b
ehk tekitatakse Riigi Infosüsteemi Ametile volitus esitada teise Euroopa Liidu liikmesriigi NIS2
direktiivi artikli 8 alusel nimetatud pädevale asutusel vastastikuse abi taotluse, kui tegemist on
kommenteeritava paragrahvi lõikes 1 sätestatud olukorraga.
45 Riigikohtu Halduskolleegiumi otsus asjas nr 3-3-1-72-14, p-d 14 ja 27.
102 / 151
KüTS § 173 lõikega 4 võetakse üle NIS2 direktiivi artikli 37 lõike 1 teise tekstilõigu teine lause
ehk määratletakse need olukorrad, millal Riigi Infosüsteemi Amet võib talle esitatud abitaotluse
täitmisest keelduda. Tegemist on alternatiivsete olukordadega.
KüTS § 173 lõikega 5 võetakse üle NIS2 direktiivi artikli 37 lõike 1 teise tekstilõigu kolmas
lause ehk sätestatakse, et Riigi Infosüsteemi Amet peab konsulteerima enne talle esitatud
abitaotluse rahuldamata jätmist:
a) teiste asjaomaste pädevate asutustega; ja
b) kui üks nendest asjaomastest pädevatest asutustest seda taotleb, siis ka Euroopa Komisjoni
ning Euroopa Liidu Küberturvalisuse Ametiga.
KüTS § 173 lõikega 6 võetakse üle NIS2 direktiivi artikli 37 lõige 2. Kommenteeritava lõike
kohaselt võib Riigi Infosüsteemi Amet teha KüTSis antud järelevalve- või täitemeetmeid, mille
puhul on ühiste tegevuste mõttes kaasatud teise riigi pädeva asutuse töötajad või ametnikud. Siin
lepitakse asutuste vahel kokku ühistegevuse kord ja protseduurid.
Eelnõu koostajatena ootame tagasisidet, kas kommenteeritava lõike puhul on vaja ka sätestada, et
teise riigi pädeva asutuse töötaja võib kasutada KüTSis sätestatud meetmeid, mida saab eelnõu
tulemusena kasutada ainult Riigi Infosüsteemi Amet; või piisab sellest, et vastavad volitused on
ja jäävad ainult Riigi Infosüsteemi Ametile. Kui ootus on, et teise riigi pädev asutus võiks
kasutada ka KüTSis sätestatud meetmeid, siis kas ta võiks kasutada kõiki meetmeid või osasid
neist – viimase variandi korral, milliseid meetmeid?
KüTS § 173 lõikega 7 võetakse üle NIS2 direktiivi artikli 26 lõige 5. Selle lõike kohaldamise
eelduseks on, et 1) Riigi Infosüsteemi Amet on saanud vastastikuse abi taotluse mõnelt muult
NIS2 direktiivi artikli 8 kohaselt pädevalt asutuselt digitaalse teenuse osutaja kohta ning 2) see
digitaalse teenuse osutaja osutab Eesti territooriumil teenuseid või tal on Eesti territooriumil
võrgu- ja infosüsteem. Kui need tingimused on täidetud, siis on Riigi Infosüsteemi Ametil õigus
võtta selle digitaalse teenuse osutaja suhtes talle esitatud vastastikuse abi taotluses märgitud
ulatuses asjakohaseid järelevalve- ja täitemeetmeid.
KüTS peatükiga 41 tekitatakse §-d 174-176, mis on seotud koostöö, vastastikuse hindamise ja
teabevahetusega.
KüTS §-ga 174 võetakse üle NIS2 direktiivi artikli 2 lõige 13, artikli 8 lõige 4, artikli 10 lõiked 4
ja 7, artikli 13 lõige 1, 4 ja 5, artikli 23 lõige 10, artikli 31 lõige 3, artikli 32 lõiked 9 ja 10, artikli
33 lõige 6, artikli 35 lõiked 1 ja 3 ning artikli 37 lõike 1 esimese tekstilõigu punkt a.
KüTS § 174 lõikega 1 on antud vastavad ülesanded nii Riigi Infosüsteemi Ametile kui ka
julgeolekuasutusele, sh kohaldub mõlemale ka lõige 6. Ülejäänud kommenteeritava paragrahvi
sätted on seotud ennekõike Riigi Infosüsteemi Ametiga. Lõige 1 ehk selle punktid 1–10 on seotud
ennekõike NIS2 direktiivi artikli 13 lõike 4 üle võtmisega. Kommenteeritava lõike esimese
punkti puhul on kasutatud viidet isikuandmete kaitse seaduse § 13 lõikes 2 olevale
õiguskaitseasutuse mõistele, kuna mujal ei ole seda selgitatud või defineeritud. Kommenteeritava
103 / 151
lõike teine punkt on seotud ka NIS2 direktiivi artikli 32 lõikega 3 (koostöö isikuandmete kaitse
valdkonna järelevalveasutustega). Kommenteeritava lõike kolmas ja neljas punkt on seotud
lennunduse valdkonna järelevalveasutustega. Kommenteeritava lõike kuues punkt on seotud
NIS2 direktiivi artikli 32 lg 10 esimese lausega ja artikli 33 lg 6 esimese lausega kui ka artikli 35
lõigetega 1 ning 3. Kommenteeritava lõike kaheksas punkt on seotud NIS2 direktiivi artikli 13
lõigetega 1 ja 3. Kommenteeritava lõike üheksas punkt on seotud NIS2 direktiivi artikli 10 lõike
4 üle võtmisega. Kommenteeritava lõike kümnes punkt on seotud NIS2 direktiivi artikli 37 lg 1
esimese tekstilõigu punktiga a kui ka nende pädevate järelevalveasutustega, kes on nimetatud
delegeeritud määruse 2024/1366 artikli 3 lõikes 2 või kes on sama määruse artikli 4 kohaselt
kindlaks määratud.
KüTS § 174 lõige 2 on seotud NIS2 direktiivi artikli 13 lõike 5, artikli 23 lõike 10 ja artikli 32
lõike 9 rakendamisega. Siinse sõnastuse puhul on eeskuju võetud 426 SE-ga hädaolukorra
seadusesse lisandunud koostöö sätetega, tagamaks kooskõla mõlema õigusakti vahel.
Kommenteeritavas lõikes on viidatud hädaolukorra seaduse § 37 lõikele 5, kuid vastav viide tuleb
asendada tsiviilkriisi ja riigikaitseseaduse vastava viitega, kui tolle eelnõu lõplik sõnastus ja
jõustumiskuupäev on selge ning vastav eelnõu on vastu võetud. Kommenteeritava lõike viimase
lause osas on märgitud nii riiklikku kui haldusjärelevalve menetlusi – kuigi üldreeglina on
elutähtsa teenuse osutaja eraettevõte, siis 426 SE-ga lisatakse elutähtsa teenuse osutaja ülesanne
ka Eesti Rahvusringhäälingule, kes ei ole ettevõte, vaid avalik-õiguslik juriidiline isik.
KüTS § 174 lõige 3 on seotud NIS2 direktiivi artikli 32 lg 10 teise lause ja artikli 33 lg 6 teise
lause üle võtmisega. Selles lõikes on viidatud ainult riiklikule järelevalvele, kuna DORA määruse
artikli 31 kohaselt kriitilise tähtsusega kolmandast isikust IKT-teenuse osutajana saab käsitleda
ennekõike erasektoris olevat KüTSi teenuse osutajat. Eelnõu koostajatena ootame tagasisidet, kas
tolle kolmandast isikust IKT-teenuse osutaja puhul võib olla tegemist ka mõne keskvalitsuse
avaliku halduse üksuse või kohaliku tasandi avaliku halduse üksusega, mille korral tuleb
kommenteeritavat lõiget täiendada ka viitega haldusjärelevalvele.
KüTS § 174 lõige 4 on seotud NIS2 direktiivi artikli 13 lõigete 3 ja 5 üle võtmisega. KüTS § 174
lõige 5 on seotud NIS2 direktiivi artikli 8 lõike 4 ja artikli 37 lõike 1 esimese tekstilõigu punkti a
üle võtmisega. KüTS § 174 lõige 6 on seotud NIS2 direktiivi artikli 10 lõike 7 üle võtmisega.
Kommenteeritava paragrahvi kehtestamine võimaldab ka üle võtta NIS2 direktiivi 2 lõiget 13.
KüTS §-ga 175 võetakse üle NIS2 direktiivi artikli 10 lõige 4 ja artikkel 29. Tegemist on
vabatahtliku küberturvalisuse alase teabevahetuse kokkuleppega, kus võivad osaleda Riigi
Infosüsteemi Amet, teenuse osutajad kui ka muud isikud. Kommenteeritava paragrahviga on
seotud ka NIS2 direktiivi põhjenduspunktid 118–121
KüTS §-ga 175 lõikega 1 võetakse üle NIS2 direktiivi artikli 29 lõiked 1 ja 2, määratledes
alternatiivsed olukorrad, mil küberturvalisuse alase teabevahetuse kokkuleppe osapooled
sedasorti teabevahetust teevad. Tuleb arvestada asjaoluga, et tegemist on kogukonna laadse info
vahetamisega ja siin ei saa näiteks üks kogukonna liige nõuda teiselt liikmelt, et viimane annaks
104 / 151
või edastaks kommenteeritavas lõikes ette nähtud teavet. Samas tuleb siin ka eristada juhtumit
või olukorda, kus see teine liige peab mõne muu kehtiva või tulevikus kehtima hakkava
õigusnormi tõttu vastavat teavet esitama.
KüTS §-ga 175 lõikega 2 võetakse üle NIS2 direktiivi artikli 29 lõige 2. Selles lõikes nähakse
ette, et kommenteeritava paragrahviga seotud teabevahetuse kokkuleppeid võib olla rohkem kui
üks, kuna NIS2 direktiiv ei näe ette ainult ühe teabevahetuse kokkuleppe sõlmimise võimalust
ning siin on soov eelnõuga seda ka eraldi rõhutada.
KüTS §-ga 175 lõikega 3 võetakse üle NIS2 direktiivi artikli 29 lõige 2 ja lõike 3 teine lause,
määrates ära, millised aspektid on võimalik teabevahetuse kokkuleppes ära määratleda. See lõige
annab esmase selguse, et mis nüansside ja teemade peale tasub mõelda, kui teabevahetuse
kokkulepet hakatakse sõlmima. Näiteks tasuks teabevahetuse kokkuleppes määratleda ka, et
kuidas toimub ühinemine selle kokkuleppega ja kuidas toimub sellest välja astumine, sh et kes ja
kuidas vastavaid otsuseid vastu võtab.
KüTS §-ga 175 lõikega 4 võetakse üle NIS2 direktiivi artikli 10 lõige 4 ja artikli 29 lõike 3
kolmas lause. Kommenteeritavas lõikes mainitud tingimused võivad olla näiteks fooriprotokolli
kasutamine.46
Kommenteeritava paragrahvi lõikega 5 võetakse üle NIS2 direktiivi artikli 29 lõige 4, millega
nähakse ette Riigi Infosüsteemi Ameti teavitamine, kui:
a) teenuse osutaja on ühinenud teabevahetuse kokkuleppega; või
b) teenuse osutaja poolne teabevahetuse kokkuleppest taganemine on jõustunud.
Variandi b puhul on mõeldud olukorda, kus teabevahetuse kokkuleppest taganemise avaldus on
esitatud ja see on vastava teabevahetuse kokkuleppe haldaja poolt ellu viidud ehk teenuse osutaja
pole enam selle kokkuleppe osapool, sh on ta ka näiteks selle teabevahetusega seotud e-kirja
nimekirjast või muust infosüsteemist või platvormist eemaldatud.
KüTS §-ga 176 võetakse üle NIS2 direktiivi artikkel 19, millega sätestatakse vastastikuse
hindamise võimalus. Kommenteeritava paragrahviga on seotud ka NIS2 direktiivi
põhjenduspunktid 75 ja 76.
KüTS §-ga 176 lõikega 1 võetakse üle NIS2 direktiivi artikkel 19 lg 1 esimese tekstilõigu teine
lause ehk et vastastikuses hindamises osalemine on vabatahtlik.
KüTS §-ga 176 lõikega 2 võetakse üle NIS2 direktiivi artikkel 19 lg 1 esimese tekstilõigu
esimene lause, lg 2 ja lg 6 kolmas lause. NIS2 direktiivi artikli 14 tähenduses koostöörühm töötab
17. jaanuariks 2025. a Euroopa Komisjoni ja Euroopa Liidu Küberturvalisuse Ametiga, sh
asjakohaselt juhul NIS2 artiklis 15 sätestatud CSIRTide võrgustiku abiga, välja vastastikuse
hindamise metoodika ja korralduslikud aspektid, et õppida jagatud kogemustest, tugevdada
46 Fooriprotokolli selgituse osas vt: https://www.ria.ee/kuberturvalisus/kuberruumi-analuus-ja-
ennetus/fooriprotokoll.
105 / 151
vastastikust usaldust, saavutada küberturvalisuse ühtlaselt kõrge tase ning suurendada
liikmesriikide küberturvalisuse alast võimekust ja poliitikat, mis on vajalik NIS2 direktiivi
rakendamiseks.
KüTS §-ga 176 lõikega 3 võetakse üle NIS2 direktiivi artikkel 19 lg 1 esimese tekstilõigu kolmas
ja neljas lause ning lg 2. Eelnõus on jäetud laiemaks, et kes võivad siin osaleda (küberturvalisuse
eksperdid), kuid eelnõu KüTS § 5 lg 5 punkti 1 tõttu osaleb selles tegevuses küberturbe
intsidentide lahendamise üksus.
KüTS §-ga 176 lõikega 4 võetakse üle NIS2 direktiivi artikkel 19 lg 1 teine tekstilõik, lg-d 3-5,
lg 6 teine lause ja lg-d 7 ning 8. Kommenteeritava lõikega antakse ülesanded Justiits- ja
Digiministeeriumile. Vabariigi Valitsuse seaduse § 44 lõike 1 kohaselt on riiki volitatud
esindama valitsusasutus või muu riigiasutus seadusest, oma põhimäärusest ja teistest
õigusaktidest tulenevate ülesannete täitmisel. Seetõttu on ka käesoleva eelnõu tulemusel KüTSis
määratletud, milliseid ülesandeid ministeerium teostab.
Kehtiva õiguse kohaselt on küberturvalisusega seotud valdkonna koordineerimine Majandus- ja
Kommunikatsiooniministeeriumil, kuid käesolev eelnõu arvestab Riigikokku esitatud Vabariigi
Valitsuse seaduse muutmise ja sellega seonduvalt teiste seaduste muutmise seadust 505 SE,
millega liigub Justiits- ja Digiministeeriumisse digiühiskonnapoliitika, avalike e-teenuste,
digiarengu ja küberturvalisuse, riigi infosüsteemide, kesksete võrgu- ja infosüsteemide ning side
ja telekommunikatsiooniga seotud ülesanded. Samuti liiguvad Majandus- ja
Kommunikatsiooniministeeriumi alt Justiits- ja Digiministeeriumi valitsemisalasse Riigi
Infosüsteemi Amet, Riigi Info- ja Kommunikatsioonitehnoloogia Keskus, Riigi
Infokommunikatsiooni Sihtasutus ning Eesti Interneti Sihtasutus. 505 SE-ga seotud muudatuse
on kavandatud jõustuma 2025. aasta 1. jaanuaril.
Kuna ministeeriumil on laiemas vaates koordineeriv roll nende ülesannete täitmisel, siis
määratakse eelnõuga vastavad ülesanded. Lisaks tekitatakse ministeeriumile ka võimalus ühe või
mitme kommenteeritavas lõikes oleva ülesande edasi delegeerida asutusele, näiteks Riigi
Infosüsteemi Ametile.
Kommenteeritava lõike punktid 2 ja 3 on seotud NIS2 direktiivi artikkel 19 lõike 8 üle
võtmisega. Kommenteeritava lõike punkt 4 on seotud NIS2 direktiivi artikkel 19 lõike 1 teise
tekstilõike ning lõigete 3 ja 4 üle võtmisega. Kommenteeritava lõike punkt 5 on seotud NIS2
direktiivi artikkel 19 lõike 5 üle võtmisega. Tegemist on võimalusega teha enne vastastikuse
hindamise toimumist hinnatavate aspektide suhtes enesehindamise tegemine ning taolise
enesehinnangu tegemisel saadud tulemuste edastamine Eestit hinnatavate liikmesriikide
ekspertidele. Kommenteeritava lõike punkt 6 on seotud NIS2 direktiivi artikkel 19 lõike 6 teise
lause üle võtmisega. Kommenteeritava lõike punkt 7 on seotud NIS2 direktiivi artikkel 19 lõike
7 üle võtmisega ehk ministeerium saab volituse esitada taotluse, et juba vastavushindamise
käigus hinnatud aspekte hinnatakse uuesti enne kahe aasta möödumist. Kommenteeritava lõike
punkt 8 on seotud NIS2 direktiivi artikkel 19 lõike 9 teise lause üle võtmisega. Kommenteeritava
lõike punkt 9 on seotud NIS2 direktiivi artikkel 19 lõike 9 teise lause üle võtmisega.
106 / 151
Kommenteeritava lõike punktis 10 mainitud toimetatud versiooni all on mõeldud vastastikuse
hindamise aruande versiooni, millest on välja võetud salastatud ja juurdepääsupiiranguga teave.
KüTS §-ga 176 lõikega 5 võetakse üle NIS2 direktiivi artikkel 19 lg 6 teine lause ning siin on
tegemist kinnise loeteluga asjaoludest, mida Eestit hinnatavale Euroopa Liidu liikmesriikide
määratud ekspertidele teabe edastamisel arvestatakse. Eelnõu koostajatena ootame tagasisidet,
kas see nimekiri võiks olla paindlikum ehk avatud nimekiri, sh et kas seda nimekirja oleks vaja
täiendada või muuta.
KüTS §-ga 176 lõikega 6 võetakse üle NIS2 direktiivi artikkel 19 lg 6 esimene, neljas ja viies
lause, lg 7 ning lg 9 laused 1 ja 3. Kommenteeritava lõike punkt 1 on seotud NIS2 direktiivi
artikli 19 lg 6 esimene lause (vastastikune hindamine hõlmab kohapealseid või virtuaalseid
külastusi ja teabevahetust väljaspool tegevuskohta) üle võtmisega. Kommenteeritava lõike punkt
2 on seotud NIS2 direktiivi artikli 19 lg 6 neljanda lause (vastastikuses hindamises saadavat
teavet kasutatakse üksnes hindamise eesmärgil) üle võtmisega.
Kommenteeritava lõike punkt 3 on seotud NIS2 direktiivi artikli 19 lg 6 viienda lause
(vastastikuses hindamises osalevad küberturvalisuse valdkonna eksperdid ei avalda vastastikuse
hindamise käigus saadud tundlikku või konfidentsiaalset teavet kolmandatele isikutele) üle
võtmisega. Kommenteeritava punkti puhul tuleb arvestada ka asjaoluga, et ametnike puhul on
vastav NIS2 direktiivi nõue kaetud avaliku teenistuse seaduse §-ga 55 ning töötajate puhul on
nimetatud nõude täitmisega seotud töölepingu seaduse § 6 lg 3 ja § 22. Samamoodi on siin ka
asjakohane avaliku teabes seaduse § 38 lg 3 lause 2 ning juurdepääsupiirangu alustena võib siin
kasutada samas seaduse § 35 lg 1 punkte 3, 9 ja 10. Samas, kui kommenteeritava paragrahviga
seotud vastastikusesse hindamisse kaasatakse keegi muu isik eksperdina, kellele eelnimetatud
nõuded ei kohaldu (nt käsunduslepingu alusel), siis on võimalik sõlmida
konfidentsiaalsuskinnitus - seetõttu ongi tekitatud kommenteeritav punkt, et see hõlmaks ka neid
muid osapooli.
Siinse ehk saladuses hoidmise kohustusega seonduvalt tuleb ka märkida, et üldreeglina on
asutusesiseseks kasutamiseks mõeldud teabe puhul juurdepääsupiirangu pikkuseks kuni 5 aastat,
mida võib pikendada kuni 5 aasta võrra (vt avaliku teabe seaduse § 40 lõiget 1). Kuid too
juurdepääsupiirangu tähtaeg on kohaldatav ennekõike olukorras, kus tegemist on Eestis loodud
avaliku teabega. Kui mingi teave on saadud välisriigi või rahvusvahelise organisatsiooni poolt,
siis tuleb lähtuda teabe saatja (algse looja) juurdepääsupiirangu tähtajast (vt avaliku teabe seaduse
§ 40 lõiget 11). Eraldi teema on, kui mingi teave klassifitseerub riigisaladuseks või salastatud
välisteabeks – sel juhul lähtutakse vastava teabe kaitse ja tähtaegade puhul ennekõike
riigisaladuse ja salastatud välisteabe seadusest kui ka sellega seotud või selles viidatud muudest
õigusaktidest.
Kommenteeritava lõike punkt 4 on seotud NIS2 direktiivi artikli 19 lg 7 (Liikmesriigis juba
vastastikku hinnatud aspektid ei kuulu kõnealuses liikmesriigis enam vastastikusele hindamisele
kahe aasta jooksul pärast vastastikuse hindamise lõppemist, välja arvatud juhul, kui seda taotleb
107 / 151
liikmesriik või nii lepitakse kokku pärast koostöörühma ettepanekut.) üle võtmisega.
Kommenteeritava punktiga on seotud ka kommenteeritava paragrahvi lg 4 punkt 7.
Kommenteeritava lõike punkt 5 on seotud NIS2 direktiivi artikli 19 lg 9 esimese lause
(vastastikuses hindamises osalevad küberturvalisuse eksperdid koostavad aruanded vastastikuse
hindamise tulemuste ja järelduste kohta) üle võtmisega. Kommenteeritava lõike punkt 6 on
seotud NIS2 direktiivi artikli 19 lg 9 kolmanda lause (aruanded sisaldavad soovitusi vastastikuse
hindamisega hõlmatud aspektide parandamiseks) üle võtmisega.
KüTS § 18 tunnistatakse kehtetuks, kuna NIS2 direktiivi üle võtmisel on tekkinud vajadus
eristada elutähtsaid ja olulisi üksusi ning neile määratavaid rahatrahve. Seetõttu on eelnõuga
tekitatud ka KüTS §-d 182–184, sh on siin seotud ka §-d 185 ja 186.
Lisanduvad §-d 182-186 on seotud väärteokoosseisude määratlemisega. Kommenteeritavate
paragrahvidega on seotud ka NIS2 direktiivi põhjenduspunktid 127–132.
Lisanduvate KüTS §-dega 182 ja 183 tuleb arvestada asjaoluga, et Eestis puuduvad haldustrahvid
(administrative fines), mistõttu sarnaselt isikuandmete kaitse üldmääruse põhjenduspunktile 151
viiakse eelnõu tulemusena NIS2 direktiiviga ette nähtud haldustrahvi määramise menetlus läbi
väärteomenetluses. Eelnõus pakutud lahendus on ka kooskõlas kehtiva õigusega ehk ennekõike
KüTS § 19 lõikega 2, mis on seotud NIS2 direktiivi artikli 35 rakendamisega.
Lisanduvate sätetega on seotud ka NIS2 direktiivi põhjenduspunktidega 127-132:
„(127) Et täitmine tõhusalt tagada, tuleks koostada [NIS2 direktiivis] sätestatud küberturvalisuse
riskijuhtimismeetmete ja teatamiskohustuse rikkumise korral miinimumloetelu täitmise tagamise
volitustest, mida võib kasutada, ning kehtestada selliste täitmise tagamise jaoks kogu liidus selge
ja ühtne raamistik. Igakülgset tähelepanu tuleks pöörata [NIS2 direktiivi] rikkumise laadile,
tõsidusele ja kestusele, põhjustatud varalisele või mittevaralisele kahjule, sellele, kas rikkumine
oli tahtlik või tingitud hooletusest, varalise või mittevaralise kahju vältimiseks või
leevendamiseks võetud meetmetele, vastutuse tasemele ja varasematele asjaomastele
rikkumistele, pädeva asutusega tehtava koostöö tasemele ning muule raskendavale või
leevendavale tegurile. Sellised täitemeetmed, sealhulgas haldustrahvid, peaksid olema
proportsionaalsed ja nende määramise suhtes tuleks kooskõlas liidu õiguse üldpõhimõtete ja
Euroopa Liidu põhiõiguste hartaga (edaspidi „harta“) kohaldada asjakohaseid menetluslikke
kaitsemeetmeid, sealhulgas õigust tõhusale õiguskaitsevahendile ja õiglasele kohtumenetlusele,
süütuse presumptsiooni ja kaitseõigust.
(128) [NIS2 direktiivis] ei nõuta, et liikmesriigid näeksid ette kriminaal- või tsiviilvastutuse
füüsiliste isikute suhtes, kes vastutavad selle eest, et üksused järgiksid [NIS2 direktiivi], kui selle
rikkumise tagajärjel on tekitatud kahju kolmandatele isikutele.
(129) Et tagada [NIS2 direktiivis] sätestatud kohustuste tõhus täitmine, peaks igal pädeval
asutusel olema õigus haldustrahve määrata või nende määramist taotleda.
108 / 151
(130) Kui haldustrahv määratakse elutähtsale või olulisele üksusele, kes on ettevõtja, tuleks
selline ettevõtja lugeda ettevõtjaks ELi toimimise lepingu artiklite 101 ja 102 tähenduses. Kui
haldustrahv määratakse isikule, kes ei ole ettevõtja, peaks pädev asutus sobiva trahvisumma
määramisel arvesse võtma üldist sissetulekutaset selles liikmesriigis ja isiku majanduslikku
olukorda. See, kas ja mil määral tuleks kohaldada haldustrahve avaliku sektori asutustele, peaks
olema liikmesriikide otsustada. Haldustrahvi määramine ei mõjuta pädevate asutuste muude
volituste rakendamist ega muude karistuste kohaldamist, mis on sätestatud [NIS2 direktiivi]
ülevõtvates liikmesriigi õigusnormides.
(131) Liikmesriikidel peaks olema võimalik kehtestada kriminaalkaristusi käsitlevad normid,
mida kohaldatakse [NIS2 direktiivi] ülevõtvate liikmesriigi õigusnormide rikkumise korral.
Kriminaalkaristuste määramine selliste liikmesriigi normide rikkumise korral ja seotud
halduskaristuste määramine ei tohiks aga kaasa tuua ne bis in idem põhimõtte rikkumist, nagu
seda on tõlgendanud Euroopa Liidu Kohus.
(132) Kui [NIS2 direktiiviga] ei ole halduskaristusi ühtlustatud või vajaduse korral muudel
juhtudel, näiteks [NIS2 direktiivi] olulise rikkumise korral, peaksid liikmesriigid rakendama
süsteemi, mis näeb ette tõhusad, proportsionaalsed ja heidutavad karistused. Selliste karistuste
laad ja see, kas tegemist on kriminaal- või halduskaristusega, tuleks kindlaks määrata
liikmesriigi õigusega.“
NIS2 direktiivi artikli 34 lõike 1 kohaselt peavad liikmesriigid tagama, et haldustrahvid, mida
määratakse sama artikli kohaselt elutähtsatele ja olulistele üksustele NIS2 direktiivi rikkumise
korral, on mõjusad, proportsionaalsed ja heidutavad ning et nende puhul võetakse arvesse iga
üksikjuhtumi asjaolusid. NIS2 direktiivi artikli 34 lõike 3 kohaselt peab haldustrahvi määramise
ja selle suuruse üle otsustamisel võtma iga üksikjuhtumi puhul nõuetekohaselt arvesse vähemalt
NIS2 direktiivi artikli 32 lõikes 7 sätestatud asjaolusid (vt siin ka NIS2 direktiivi üle võtmise
tabelis olevaid selgitusi väärteomenetluse kontekstis; samuti ka eelnõus KüTS § 14 lõiget 7).
Näiteks rikkumise raskust ja rikutud sätete olulisust, rikkumise kestust, varasemaid rikkumisi
ning rikkumise toimepanija tahtlust või hooletust.
Kuna eelnõuga nähakse ette, et NIS2 direktiiviga seotud haldustrahve kohaldatakse
väärteomenetluses, siis NIS2 direktiivi artikli 32 lõikes 7 olevad asjaolud on sellised, mis
võimaldavad väärteomenetluse seadustiku § 31 alusel hinnata, kas väärteomenetluse alustamine
on toimepandud väärteo asjaolusid arvesse võttes põhjendatud, vajalik ja mõistlik. Sellest
tulenevalt on üsna tõenäoline, et maksimummääras trahvide määramine oleks Eestis äärmiselt
erandlik, sest järelevalveasutus (Riigi Infosüsteemi Amet) peab igal juhul hindama, kas
väärteomenetluse läbiviimine ning trahvi määramine on konkreetse rikkumise olemust ja
iseloomu arvestades on vajalik ja proportsionaalne. Võib eeldada, et kõrgeimas määras trahvide
määramine oleks Eestis ülimalt erandlik, arvestades Eestis tegutsevate ettevõtete
majandustegevuse ulatust. Siiski ei saa seda täielikult välistada, näiteks juhul, kui järelevalve
teostaja tuvastab, et rikkumine on väga suur ning näiteks piiriülese tegevusega ettevõtte korral on
selle ettevõtte üle-maailmne aastakäive väga suur. Igal juhul peab väärteotrahvi määraja hindama
109 / 151
erinevaid asjaolusid ning NIS2 direktiiv ei kirjuta ette, millises määras peab järelevalveasutus
rakendama trahve teatud laadi rikkumiste korral, vaid tegemist on järelevalveasutuse
kaalutlusõigusega. Seega peab järelevalveasutus tegema kahte erinevat kaalutlusotsust.
Esiteks, tuleb otsustada kas konkreetse rikkumise korral on väärteomenetluse alustamine vajalik
ning proportsionaalne või on teiste järelevalvemeetmete rakendamine tõhusam. Teiseks, juhul kui
järelevalveasutus otsustab alustada väärteomenetlust, tuleb erinevaid tegureid arvesse võttes
otsustada määratava trahvi suurus, kui väärteokoosseisu nõuded on täidetud. Ennekõike peavad
trahvid piisavalt vastama rikkumise laadile, raskusele ja tagajärgedele ning järelevalveasutused
peavad hindama kõiki juhtumi asjaolusid järjepideval ja objektiivselt põhjendatud viisil.
Tõhususe, proportsionaalsuse ja heidutavuse hindamine peab iga juhtumi puhul kajastama ka
valitud taotletavat eesmärki, milleks on kas uuesti tagada küberturvalisuse tagamisega seotud
nõuete täitmine või karistada ebaseaduslikku käitumist (või mõlemad).
Kuivõrd Eestis rakendatakse NIS2 direktiivis ettenähtud haldustrahve väärteomenetluse raames,
tuleb lähtuda väärteomenetluse üldreeglitest. Väärteomenetluse seadustiku § 3 lg 1 selgitab, et
väärteomenetlusõigus kehtib füüsilise ja juriidilise isiku suhtes. Ainult kirjalikku
hoiatamismenetlust (väärteomenetluse seadustiku § 541) kohaldatakse ka riigi, kohaliku
omavalitsuse ja avalik-õigusliku juriidilise isiku suhtes. Seega KüTSis ettenähtud väärteotrahve
ei ole võimalik kohaldada riigi ja kohaliku omavalitsuse suhtes.
Rahatrahvide kohaldamise ühtse praktika tagamiseks on kohtuvälise menetleja juhil võimalik
kasutada väärteomenetluse seadustiku § 10 lõikes 21 sätestatud võimalust anda kõrgendatud
ülemmääraga rahatrahvi kohaldamiseks üldiseid juhiseid.
NIS2 direktiivi artikli 34 lõiked 4 ja 5 näevad ette, et trahv määratakse protsendina (vastavalt 2%
või 1,4%) vastava üksuse omanikust ettevõtja eelmise majandusaasta üleilmsest aastasest
kogukäibest. NIS2 direktiivis ei ole täpsustatud käibe arvutamiseks täiendavaid juhiseid. Euroopa
Komisjon on eelnõu koostajatele selgitanud, et NIS2 direktiivi põhjenduspunkt 130 ja
isikuandmete kaitse üldmääruse põhjenduspunkt 150 on oma sisult identsed, mistõttu selle
protsendi suuruse välja selgitamisel tuleb lähtuda samadest põhimõtetest nagu näeb ette
isikuandmete kaitse üldmäärus. See omakorda tähendab, et ülemaailmse aastase kogukäibe välja
selgitamisel tuleb lähtuda samadest alustest. Seetõttu on siin mh asjakohane karistusseadustiku §
47 lõige 4: „Käesoleva seadustiku eriosa või muu seadus võib ette näha rahatrahvi kohaldamise
käesoleva paragrahvi lõigetes 1 ja 2 sätestatust erineval alusel ja määras, võttes arvesse
reguleeritava valdkonna eripära.“ Karistusseadustiku muutmise ja sellega seonduvalt teiste
seaduste muutmise seaduse (Euroopa Liidu õigusest tulenevad rahatrahvid) 94 SE47 arutelul
Riigikogus sooviti algselt määrata ning paika panna ühised reeglid, et kuidas ja millistest
asjaoludest lähtuvalt käibe suurust arvutatakse. 94 SE menetluse teise lugemise eel jõuti
järeldusele, et Euroopa Liidu õigus on pidevas muutumises, mistõttu ei ole võimalik algselt
47 Karistusseadustiku muutmise ja sellega seonduvalt teiste seaduste muutmise seaduse (Euroopa Liidu õigusest
tulenevad rahatrahvid) 94 SE - kättesaadav: https://www.riigikogu.ee/tegevus/eelnoud/eelnou/1bfa1944-2de6-449d-
a788-887bc84cfd0f/.
110 / 151
planeeritud raame käibe arvutamiseks tekitada. Seetõttu loodi karistusseadustiku § 47 lõikesse 4
„üldine alus, mis võimaldaks reguleeritava valdkonna eripära arvestades kalduda kõrvale sama
paragrahvi lõigetes 1 ja 2 sätestatud rahatrahvi määradest ja arvutamise alustest. Seadusandja
peaks seda võimalust valdkonnaseaduste muutmisel kasutama aga üksnes põhjendatud juhul
võttes arvesse reguleeritava valdkonna eripära (sh Euroopa Liidu õiguse nõudeid).
Karistusseadustiku § 47 (rahatrahv) lõikes 1 on sätestatud, et kohus või kohtuväline menetleja
võib väärteo eest kohaldada rahatrahvi kolm kuni kolmsada trahviühikut. Trahviühik on
rahatrahvi baassumma, mille suurus on 4 eurot. Sama sätte lõige 2 võimaldab juriidilisele isikule
võib kohus või kohtuväline menetleja väärteo eest kohaldada rahatrahvi 100–400 000 eurot.“48
Karistusseadustiku § 47 lõike 1 puhul tuleb arvestada asjaoluga, et alates 01.01.2025. a on
trahviühiku suuruseks 8 eurot, mitte 4 eurot.
Kui riigiüleselt on suudetud leida lahendus haldustrahvi instituudile, siis võib hiljem analüüsida,
kas ja mis ulatuses saaks KüTSi eelnõuga planeeritud väärteokoosseisud viia haldustrahvi vormi.
KüTS §-ga 182 võetakse üle NIS2 direktiivi artikli 34 lõige 4, mille sisu on:
„Liikmesriigid tagavad, et kui elutähtsad üksused rikuvad [NIS2 direktiivi] artiklit 21 või 23,
määratakse kooskõlas käesoleva artikli lõigetega 2 ja 3 elutähtsatele üksustele haldustrahv, mille
maksimummäär on vähemalt 10 000 000 eurot või kuni 2 % selle ettevõtja ülemaailmsest
aastasest kogukäibest eelneval majandusaastal (olenevalt sellest, kumb summa on suurem),
kellele elutähtis üksus kuulub.“
Eeltoodu tõttu on ette nähtud, et väärteokaristust määratakse olukorras, kus on rikutud KüTS § 7
lg-tes 1, 2, 21, 22, 3, 5 ja 6 või § 8 lg-tes 1, 11 ja 7 sätestatud nõudeid (vt ka eelnõus vastavaid
sätteid). Kommenteeritava paragrahvi lõige 1 määratleb vastava väärteotrahvi olukorras, kus
elutähtis üksus on füüsiline isik ning lõige 2 määratleb vastava väärteotrahvi olukorras, kus
elutähtis üksus on juriidiline isik. Elutähtsa isiku osas vt ka eelnõus KüTS § 3 lõiget 12.
NIS2 direktiivi artikli 6 punkt 38 sätestab mõiste „üksus“, mis võetakse üle KüTS § 2 punktiga 11
sõnastuses: „füüsiline isik või juriidiline isik, kes on asutatud ja keda tunnustatakse tema
tegevuskohajärgse riigisisese õiguse kohaselt, kes võib enda nimel omada õigusi ja kanda
kohustusi“. See tähendab, et eelnõuga sätestavate nõuete subjekt võib olla kas füüsiline isik või
juriidiline isik. Kui NIS2 direktiiv eristab elutähtsaid üksusi ja olulisi üksusi, siis
süüteokoosseisude puhul on vaja täiendavalt eristada ka füüsilist ja juriidilist isikut, kuna
sanktsioonid (sh nende liigid) on nende isikute puhul erinevad. Seetõttu on ka kommenteeritava
paragrahvi puhul lõikes 1 märgitud, et see kohaldub olukorras, kus elutähtis üksus on füüsiline
isik; ning lõikes 2 on sõnastatud, et see kohaldub olukorras, kus elutähtis üksus on juriidiline isik.
Kommenteeritavas paragrahvis on ka veel täiendav eeldus – puudub KüTS §-s 185 sätestatud
väärteokoosseis. Vastav täiendus on lisatud, kuna piiriüleste elektrivoogudega seotud üksustest
osad üksused on ka NIS2 direktiivi kohaldamisalas. Seetõttu tuleb eristada olukorda, kus rikkuja
48 94 SE, teise lugemise muudatusettepanekute loetelu, p 3.1. selgitus lk-del 2–3.
111 / 151
on samal ajal ka üksus, kellele kohaldub delegeeritud määruses 2024/1366 olevad nõuded. Siin vt
ka eelnõus KüTS § 185 selgitusi.
KüTS §-ga 183 võetakse üle NIS2 direktiivi artikli 34 lõige 5, mille sisu on:
„Liikmesriigid tagavad, et [NIS2 direktiivi] artikli 21 või 23 rikkumise korral määratakse
kooskõlas käesoleva artikli lõigetega 2 ja 3 olulistele üksustele haldustrahv, mille
maksimummäär on vähemalt 7 000 000 eurot või kuni 1,4 % selle ettevõtja ülemaailmsest
aastasest kogukäibest eelneval majandusaastal (olenevalt sellest, kumb summa on suurem),
kellele oluline üksus kuulub.“
Kommenteeritava paragrahvi selgitused on sisuliselt samad nagu on KüTS § 182 osas, kuid selle
erisusega, et siinse paragrahvi puhul on rikkujaks oluline üksus (olulise üksuse puhul vt eelnõus
KüTS § 3 lõiget 13).
KüTS § 184 on seotud NIS2 direktiivi artikli 32 lõike 6 esimese tekstilõigu lause 2 üle võtmise
ning rakendamisega. Artikli 32 lõike 6 esimese tekstilõigu sisu: „Liikmesriigid tagavad, et
elutähtsa üksuse eest vastutaval või seda seaduslikult esindaval füüsilisel isikul, keda on volitatud
üksust esindama, üksuse nimel otsuseid tegema või üksuse tegevust kontrollima, on pädevus
tagada käesoleva direktiivi täitmine. Liikmesriigid tagavad, et selliseid füüsilisi isikuid on
võimalik käesoleva direktiivi täitmata jätmise eest vastutusele võtta.“ Samamoodi on
kommenteeritav paragrahv seotud NIS2 direktiivi artikli 36 rakendamisega.
Kommenteeritava paragrahviga ette heidetav tegu on seotud KüTS §-s 61 sätestatud nõuete
rikkumisega, mida teenuse osutaja juhtorgan või juhtorgani liige peab täitma, et tagada KüTSi
nõuete täitmine. Näiteks turvameetmete heaks kiitmine, nende järgimise jälgimine ja kontroll,
vajalikel erikoolitustel osalemine ning tagada, et teenuse osutaja töötajad ja ametnikud saavad
küberturvalisuse valdkonnaga seotud koolitusi. Siin vt ka vastava paragrahvi selgitusi.
Kommenteeritav väärteokoosseis kohaldub ka neile KüTSi alla hõlmatavatele üksustele, kes on
hõlmatud ka delegeeritud määruse 2024/1366 kohaldamisalasse. Eelnõu koostajatena ootame
tagasisidet, kas sarnaselt KüTS §-ga 185 tuleks nimetatud delegeeritud määruse kohaldamisalasse
kuuluvate subjektide puhul tekitada samasisuline väärteokoosseis nagu on siinses paragrahvis.
KüTS § 185 on seotud delegeeritud määruse 2024/1366 nõuete rikkumisega.
Vastav erikoosseis tekitatakse, kuna NIS2 direktiivi tulemusel hõlmatakse ainult üksikud üksused
KüTSi alla, kes on muidu hõlmatud nimetatud delegeeritud määruse kohaldamisalasse – seda
juhul, kui on täidetud järgmised mõlemad eeldused:
a) tegemist on piiriüleste elektrivoogude olukorraga;
b) need üksused on delegeeritud määruse 2024/1366 artikli 24 kohaselt määratletud suure või
ülisuure mõjuga üksusena.
Delegeeritud määruse 2024/1366 artikli 3 punktis 10 on „piiriülese elektrivoo“ mõiste puhul
viidatud määruse 2019/943 artikli 2 punktis 3 määratletud piiriülene võimsusvoole, mis on
112 / 151
defineeritud kui „füüsiline elektrienergia voog liikmesriigi ülekandevõrgus, mille tekitab
väljaspool liikmesriiki asuvate tootjate, tarbijate või nende mõlema tegevuse mõju selle
liikmesriigi ülekandevõrgule“.
Delegeeritud määruse 2024/1366 artikli 3 punktis 23 on „suure mõjuga üksus“ defineeritud kui
„suure mõjuga protsessi teostav üksus, mille pädevad asutused on kindlaks teinud kooskõlas
[delegeeritud määruse 2024/1366] artikliga 24“. Delegeeritud määruse 2024/1366 artikli 3
punktis 24 on termin „suure mõjuga protsess“ defineeritud kui „mis tahes tegevusprotsess, mida
viib läbi üksus, mille puhul elektrienergia küberturvalisuse mõjuindeksid ületavad suure mõju
künnise“.
Delegeeritud määruse 2024/1366 artikli 3 punktis 5 on „ülisuure mõjuga üksus“ defineeritud kui
„üksus, kes viib läbi ülisuure mõjuga protsessi ja mille pädevad asutused on kindlaks teinud
kooskõlas [delegeeritud määruse 2024/1366] artikliga 24“. Delegeeritud määruse 2024/1366
artikli 3 punktis 7 on termin „ülisuure mõjuga protsess“ defineeritud kui „üksuse tegevusprotsess,
mille puhul elektrienergia küberturvalisuse mõjuindeksid ületavad ülisuure mõju künnise“.
Delegeeritud määruse 2024/1366 artikli 3 punktis 21 on „elektrienergia küberturvalisuse
mõjuindeks“ ehk ECII indeks defineeritud kui „indeks või liigitusskaala, mille abil järjestatakse
küberrünnete võimalikud tagajärjed piiriüleste elektrivoogudega seotud tegevusprotsessidele“.
Ehk tegemist ei ole igasuguste üksustega, vaid nendega, mis langevad vastava määratluse alla.
Samuti ei ole kommenteeritava paragrahviga loodav väärteokoosseis erikoosseisuks (vt KüTS §§-
e 182 ja 183) kõigi NIS2 direktiivi tulemusena KüTSi lisanduvate teenuse osutajate suhtes.
Tegemist on ainult üksikute üksustega, kelle puhul see on vastav eriväärteokoosseis – nimelt on
nendeks üksusteks delegeeritud määruse artikli 2 lõike 1 punktides a (direktiivi 2019/944 artikli 2
punktis 57 määratletud elektriettevõtjad), b (määruse 2019/943 artikli 2 punktis 8 määratletud
määratud elektriturukorraldajad), h (NIS2 direktiivi I lisas kindlaks määratud laadimispunkti
käitajad) ja j (NIS2 direktiivi artikli 6 punktis 40 määratletud hallatud turbeteenuste osutajad
(turbetarnijad)) nimetatud üksused.
Tuleb arvestada, et lisaks eelmainitud üksustele on kõnealuses delegeeritud määruse artikli 2
lõikes 1 märgitud ka muid üksusi, kellele tolle määruse nõuded ja seeläbi ka kommenteeritava
paragrahviga ette nähtud väärteokoosseis kohaldub.
Kuna ka eelmainitud NIS2 direktiiviga hõlmatud üksused on (vähemalt osaliselt) eelduslikult ka
elutähtsad üksused, siis ei ole võimalik väärteotrahvi ülemmäära sätestamisel võtta eeskuju KüTS
§-st 183 ehk NIS2 direktiivis olulistele üksustele ette nähtud trahvide ülemmäärast. Seetõttu on
kommenteeritavas paragrahvis olevate rahatrahvide ülemmäära sätestamisel võetud eeskujuks
KüTS §-s 182 oleva väärteokoosseisu ülemmäärast.
Kommenteeritavaga lõikega tekitatavad väärteokoosseis sätestatakse ka seetõttu, et vastasel juhul
ei ole kõnealuse delegeeritud määruse kohaldamisalasse jäävate üksuste (sh ka NIS2 direktiiviga
hõlmatud üksuste) puhul ette nähtud sarnast süüteokoosseisu nagu NIS2 direktiivi artikli 34
113 / 151
lõiked 4 ja 5 seda ette näevad, tekitades seeläbi ka võimaliku õigusliku lünga küberturvalisusega
seotud nõuete täitmise tagamise kontrolli kontekstis.
KüTS § 186 on seotud delegeeritud määruse 2024/1366 artikli 15 lõike 4 täitmisega, kus
delegeeritud määruse artikli 15 lõike 1 kohaselt on määratud seaduslik esindaja. Nimetatud
seaduslik esindaja määratakse viidatud artikli lõike kohaselt, kui:
a) tegemist on piiriüleste elektrivoogude olukorraga (vastav tingimus ei ole expressis verbis
viidatud lõikes, kuid see on nö vaikiv eeltingimus);
b) tegemist on üksusega, kelle ei ole Euroopa Liidus tegevuskohta, kuid kes osutab teenuseid
Euroopa Liidus asuvatele üksustele; ja
c) vastav üksus on saanud teate, et ta on suure või ülisuure mõjuga üksus (vt delegeeritud
määruse 2024/1366 artiklit 24).
Delegeeritud määruse 2024/1366 artikli 15 lõike 4 sisu: „Käesolevast määrusest tulenevate
kohustuste täitmata jätmise korral võib määratud seadusliku esindaja vastutusele võtta, ilma et
see piiraks vastutust või kohtumenetlusi, mis võidakse algatada suure või ülisuure mõjuga üksuse
enda suhtes.“
Delegeeritud määruse 2024/1366 artikli 15 lõike 2 kohaselt tuleb sellele esindajale anda ülesanne
võtta vastu kõigi Euroopa Liidu pädevate asutuste [delegeeritud määruse 2024/1366 tähenduses]
või küberturbe intsidentide lahendamise üksuse ehk CSIRTide pöördumisi (lisaks esindatavale
suure või ülisuure mõjuga üksusele või selle üksuse asemel) seoses selle üksuse kohustustega,
mis tulenevad sellest delegeeritud määrusest 2024/1366. Suure või ülisuure mõjuga üksus annab
oma seaduslikule esindajale vajalikud volitused ja piisavad vahendid, et tagada esindaja tõhus ja
õigeaegne koostöö asjaomaste pädevate asutuste [delegeeritud määruse 2024/1366 tähenduses]
või CSIRTidega.
Kuna delegeeritud määrus ei määratle, kas kõnealune seaduslik esindaja võib olla füüsiline või
juriidiline isik, on kommenteeritava paragrahvis süüteokoosseisud ette nähtud mõlema olukorra
jaoks.
KüTS § 19 lõikes 1 oleva muudatusega määratakse KüTS §-des 182–186 sätestatud väärtegude
kohtuväliseks menetlejaks Riigi Infosüsteemi Amet. Kuigi julgeolekuasutusel on KüTS § 14
lõike 5 kohaselt ka pädevus teostada haldusjärelevalvet, siis julgeolekuasutustele siin ei ole
võimalik vastavat menetluspädevust anda. Seda põhjusel, et ainult kirjalikku hoiatamismenetlust
(väärteomenetluse seadustiku § 541) kohaldatakse riigi, kohaliku omavalitsuse ja avalik-õigusliku
juriidilise isiku suhtes, kuid KüTSis ettenähtud väärteotrahvide puhul ei ole tegemist kirjaliku
hoiatamismenetlusega, mistõttu ei ole KüTSis sätestatud väärteotrahve võimalik kohaldada riigi
suhtes.
KüTS § 19 lõige 2 on seotud NIS2 direktiivi artikli 35 üle võtmise ning kohase rakendamisega.
See on seotud koostööga isikuandmete kaitse valdkonna järelevalveasutustega ning nende
teavitamisega, kui Riigi Infosüsteemi Amet on „järelevalve või täitmise tagamise käigus saanud
114 / 151
teadlikuks sellest, et [NIS2 direktiivi] artiklites 21 ja 23 sätestatud kohustuste rikkumisega
elutähtsa või olulise üksuse poolt võib kaasneda isikuandmetega seotud rikkumine [isikuandmete
kaitse üldmääruse artikli 4 punkti 12 tähenduses] ja millest tuleb teavitada kõnealuse määruse
artikli 33 kohaselt.“
Eelnõu koostajatena ootame tagasisidet, kas sarnane teavitus peaks olema ka KüTS §-des 185 ja
186 sätestatud väärtegude korral või mitte.
KüTS § 19 lõige 4 on KüTSis eelnõuga sätestavate väärtegude aegumistähtaja määratlemisega
osade väärtegude puhul.
94 SE tulemusena tekitati karistusseadustiku § 81 lõikesse 3 muudatus, et väärteo aegumistähtaeg
on üldreeglina kaks aastat (kui selle lõpuleviimisest kuni selle kohta tehtud otsuse jõustumiseni
on möödunud kaks aastat), kuid see võimaldab ka varianti, et eriseadusega võib ette näha kuni
viieaastast aegumistähtaega. 94 SE tulemusena muudeti ka isikuandmete kaitse seaduse § 73
lõiget 1, mille kohaselt vastavas seaduses sätestatud väärtegude aegumistähtaeg on kolm aastat.
Küberturvalisuse valdkonnaga seotud rikkumiste tuvastamine on sageli keeruline ning siin ei
oleks üldreegel ehk kahe aastane aegumistähtaeg sobilik selleks, et saaks rikkumisi avastada ja
menetleda. Seetõttu tuleb eelnõuga pikendada KüTS §-des 182, 183 ja 185 sätestatud väärtegude
aegumistähtaega kahe aasta pealt kolme aastani.
Vastav pikem aegumistähtaeg on vajalik ka olukorraks, kus Riigi Infosüsteemi Amet tuvastab
enda menetluses, et tegemist võib olla isikuandmete kaitse valdkonna nõuete rikkumisega,
mistõttu ta teavitab sellest KüTS § 19 lõike 2 kohaselt Andmekaitse Inspektsiooni. Kui nüüd
Andmekaitse Inspektsioon väärteomenetlust ei alusta väärteokoosseisu puudumise tõttu (nt kui
rikkumine ei ole seotud isikuandmete ja nende töötlemisega), siis jääb Riigi Infosüsteemi Ametil
ka aega, et väärteomenetlus läbi viia, kui KüTSis sätestatud süüteokoosseis on täidetud.
KüTSis olevate muude väärteokoosseisude (vt KüTS § 181, 184 ja 186) osas kehtiv üldreegel ehk
aegumistähtaeg on kaks aastat.
KüTS §-ga 20 seotud muudatused on seotud NIS2 direktiivi rakendamisega seotud esmaste
ülesannetega. Siinsed tähtajad on määratud lähtuvalt NIS2 direktiivi enda vastavatest sätetega
seotud tähtaja pikkustest (alates NIS2 direktiivi kehtima hakkamisest), kuid eelnõu avaliku
kooskõlastamise käigus võib tekkida vajadus neid tähtpäevi muuta.
Eelnõus määratakse siinse paragrahvi lõigetes olevad tähtajad lähtudes NIS2 direktiivi
asjakohastes artiklites olevate tähtaegade pikkuste eeskujust. Siinsete ülesannete tähtaegade
arvutamise hetk on seotud siinse eelnõu jõustumise kuupäevaga (vt eelnõu § 11). Hoolimata
kommenteeritava lõike jõustumise tähtajast, on Riigi Infosüsteemi Ametil võimalik
kommenteeritava paragrahviga seotud ülesandeid täita ka varem, st siinse eelnõu vastu võtmise
protsessi ajal, et kiirendada iga vastava ülesande täitmist.
115 / 151
Eelnõu koostajatena ootame tagasisidet, kas eelnõuga ette nähtud tähtajad on arusaadavad ning
selged või tuleks nende sisu ja tingimusi muuta ehk et mis tähtajaks või millistest tingimustest
lähtuvalt tuleks vastavad tähtajad kindlaks määrata.
Lõikega 1 sätestatud nõue on seotud NIS2 direktiivi artikli 3 lõike 3 üle võtmise ja
rakendamisega. Nimetatud lõige näeb ette järgmise: „Hiljemalt 17. aprilliks 2025 koostavad
liikmesriigid elutähtsate ja oluliste üksuste ning domeeninime registreerimise teenuseid osutavate
üksuste loetelu. Liikmesriigid vaatavad loetelu läbi ja asjakohasel juhul ajakohastavad seda
korrapäraselt ning seejärel vähemalt iga kahe aasta järel.“ Tolle lõike põhisisu on kirjas eelnõu
KüTS § 3 lõikes 3, kuid selle kohustuse esmakordse täitmise tähtaeg tuleb eraldi määratleda –
seetõttu tehakse seda kommenteeritavas lõikes.
NIS2 direktiivi hakati kohaldama alates 2024. aasta 18. oktoobrist ning NIS2 direktiivi artikli 3
lõikes 3 sätestatud tähtaeg (2025. aasta 17. aprill) saabub kuus kuud pärast NIS2 direktiivi
kohaldamise kuupäeva. Arvestades siinse eelnõu vastu võtmiseks läbi viidavat protseduuri ja
aega, ei ole nimetatud kuupäev (2025. aasta 17. aprill) realistlik, mistõttu tuleb kommenteeritava
lõikega seotud tähtaeg määrata teisiti. Võttes eeskuju NIS2 direktiivi vastava sätte tähtaja
pikkusest, on ka siinse lõike puhul lähtutud sarnase tähtaja kestusest ehk tegemist on tähtajaga,
mille pikkus on 6 kuud pärast eelnõuga lisanduva KüTS § 3 lõike 31 jõustumisest (mis jõustub
eelnõu jõustumise kuupäeval). Kommenteeritav lõige on seotud KüTS § 3 lõike 31 jõustumisega
seetõttu, et too lõige määratleb ära, mis teavet peavad teenuse osutajad Riigi Infosüsteemi
Ametile esitama, et ta saaks üksuste loetelu kokku panna.
Lõikega 2 sätestatud nõue on seotud NIS2 direktiivi artikli 3 lõike 5 üle võtmise ja
rakendamisega. Nimetatud lõige näeb ette järgmise: „Hiljemalt 17. aprilliks 2025 ja seejärel iga
kahe aasta järel teatavad pädevad asutused:
a) komisjonile ja koostöörühmale iga I või II lisas osutatud sektori ja allsektori kohta lõike 3
kohases loetelus sisalduvate üksuste arvu ning
b) komisjonile asjakohase teabe seoses artikli 2 lõike 2 punktide b–e kohaselt kindlaks määratud
elutähtsate ja oluliste üksuste arvuga, I või II lisas osutatud sektori ja allsektoriga, kuhu need
kuuluvad, nende osutatavate teenuste liigiga ning sellega, millise artikli 2 lõike 2 punktide b–e
sätte kohaselt need kindlaks määrati.“ Tolle lõike põhisisu on kirjas eelnõu KüTS § 3 lõikes 33,
kuid selle kohustuse esmakordse täitmise tähtaeg tuleb eraldi määratleda – seetõttu tehakse seda
kommenteeritavas lõikes.
NIS2 direktiivi artikli 3 lõikes 5 ette nähtud tähtaeg (2025. aasta 17. aprill) saabub kuus kuud
pärast NIS2 direktiivi kohaldamise kuupäeva. Arvestades siinse eelnõu vastu võtmiseks läbi
viidavat protseduuri ja aega, ei ole nimetatud kuupäev (2025. aasta 17. aprill) realistlik, mistõttu
tuleb kommenteeritava lõikega seotud tähtaeg määrata teisiti. Võttes eeskuju NIS2 direktiivi
vastava sätte tähtaja pikkusest, on ka siinse lõike puhul lähtutud sarnase tähtaja kestusest ehk
tegemist on tähtajaga, mille pikkus on 6 kuud pärast eelnõuga lisanduva KüTS § 3 lõike 33
punktide 1 ja 2 jõustumisest. Viidatud punktid jõustuvad eelnõu jõustumise kuupäeval.
116 / 151
Lõikega 3 sätestatud nõue on seotud NIS2 direktiivi artikli 3 lõike 6 üle võtmise ja
rakendamisega. Nimetatud lõige näeb ette järgmise: „Kuni 17. aprillini 2025 ja komisjoni
taotlusel võivad liikmesriigid teatada komisjonile lõike 5 punktis b osutatud elutähtsate ja oluliste
üksuste nimed.“ Tolle lõike põhisisu on kirjas eelnõu KüTS § 3 lõike 33 punktis 2, kuid seal ei
ole määratud selle kohustuse esmakordse täitmise tähtaeg – seetõttu tehakse seda
kommenteeritavas lõikes. Kommenteeritava lõike puhul on tähtaja määramise selgitused sisuliselt
samad, mis on kommenteeritava paragrahvi lõikes 2, mistõttu neid siin ei korrata.
Lõikega 4 sätestatud nõue on seotud NIS2 direktiivi artikli 27 lõike 2 üle võtmise ja
rakendamisega. Nimetatud lõige näeb ette järgmise:
„Liikmesriigid nõuavad lõikes 1 osutatud üksustelt hiljemalt 17. jaanuariks 2025 järgmise teabe
esitamist pädevatele asutustele:
a) üksuse nimi;
b) I või II lisas osutatud asjakohane sektor, allsektor ja üksuse liik, kui see asjakohane;
c) üksuse peamise tegevuskoha ja liidus asuvate muude ametlike tegevuskohtade aadress või kui
tal liidus tegevuskohta ei ole või ta ei ole seal asutatud, tema [NIS2 direktiivi] artikli 26 lõike 3
kohaselt määratud esindaja aadress;
d) üksuse ja, kui see on kohaldatav, tema [NIS2 direktiivi] artikli 26 lõike 3 kohaselt määratud
esindaja ajakohased kontaktandmed, sealhulgas e-posti aadressid ja telefoninumbrid;
e) liikmesriigid, kus üksus teenust osutab, ning
f) üksuse IP-vahemikud.“
Tolle lõike põhisisu on kirjas eelnõu KüTS § 4 lõikes 1, kuid selle kohustuse esmakordse täitmise
tähtaeg tuleb eraldi määratleda - seetõttu tehakse seda kommenteeritavas lõikes.
NIS2 direktiivi artikli 27 lõikes 2 ette nähtud tähtaeg (2025. aasta 17. jaanuar) saabub kolm kuud
pärast NIS2 direktiivi kohaldamise kuupäeva. Arvestades siinse eelnõu vastu võtmiseks läbi
viidavat protseduuri ja aega, ei ole nimetatud kuupäev (2025. aasta 17. jaanuar) realistlik,
mistõttu tuleb kommenteeritava lõikega seotud tähtaeg määrata teisiti. Võttes eeskuju NIS2
direktiivi vastava sätte tähtaja pikkusest, on ka siinse lõike puhul lähtutud sarnase tähtaja
kestusest ehk tegemist on tähtajaga, mille pikkus on 3 kuud pärast eelnõuga lisanduva KüTS § 3
punkti 74 jõustumisest. Viidatud punkt jõustub eelnõu jõustumise kuupäeval. Kommenteeritav
lõige on seotud KüTS § 2 punkti 74 jõustumisega seetõttu, et too punkt määratleb ära lühendi
„digitaalse teenuse osutaja“ sisu ehk selles määratletakse ära, milliste üksuste suhtes seda
lühendit kasutatakse.
Lõikega 5 sätestatud nõue on seotud NIS2 direktiivi artikli 23 lõike 9 esimese lause üle võtmise
ja rakendamisega. Nimetatud lause näeb ette järgmise: „Ühtne kontaktpunkt esitab ENISA-le iga
kolme kuu tagant koondaruande, mis sisaldab anonüümseid koondandmeid käesoleva artikli
lõike 1 ning artikli 30 kohaselt teatatud oluliste intsidentide, intsidentide, küber- ja
117 / 151
intsidendiohtude kohta.“ Tolle lõike põhisisu on kirjas eelnõu KüTS § 12 lõikes 41, kuid seal ei
ole määratud selle kohustuse esmakordse täitmise tähtaeg – seetõttu tehakse seda
kommenteeritavas lõikes.
Selle tähtaja määramisel lähtuti asjaolust, et kuigi siin NIS2 direktiivi vastavas lõikes konkreetset
tähtpäeva pole mainitud, siis vastava nõude järgimine on algupäraselt sõltuvuses NIS2 direktiivi
enda kehtima hakkamisega Euroopa Liidu tasandil (18.10.2024). NIS2 direktiivi artikli 23 lõikes
9 ette nähtud tähtaeg (2025. aasta 17. jaanuar) saabub kolm kuud pärast NIS2 direktiivi
kohaldamise kuupäeva. Arvestades siinse eelnõu vastu võtmiseks läbi viidavat protseduuri ja
aega, ei ole nimetatud kuupäev (2025. aasta 17. jaanuar) realistlik, mistõttu tuleb
kommenteeritava lõikega seotud tähtaeg määrata teisiti. Võttes eeskuju NIS2 direktiivi vastava
sätte tähtaja pikkusest, on ka siinse lõike puhul lähtutud sarnase tähtaja kestusest ehk tegemist on
tähtajaga, mille pikkus on 3 kuud pärast eelnõuga lisanduva KüTS § 12 lõike 41 jõustumisest.
Viidatud lõige jõustub eelnõu jõustumise kuupäeval.
KüTSi muutmise viimase punktiga sõnastatakse ringi normitehniline märkus, et edaspidi on
varasema küberturvalisuse valdkonna direktiivi viite asemel viide NIS2 direktiivile.
Eelnõu §-d 2-9 on ennekõike seotud kas: 1) NIS2 direktiivis ette nähtud muudatusega, 2) KüTSi
§-dele 7 ja 8 oleva ristviite kaotamisega või 3) muude tehniliste muudatustega, mis on vajalikud
siinse eelnõu rakendamiseks.
§ 2. E-identimise ja e-tehingute usaldusteenuste seaduse muudatus
E-identimise ja e-tehingute usaldusteenuste seaduse § 4 sisu on hetkel:
㤠4. Turvaintsidentidest teavitamise kohustus
Usaldusteenuse osutaja teavitab pädevat asutust Euroopa Parlamendi ja nõukogu määruse (EL)
nr 910/2014 artikli 19 lõike 2 kohasest turvaintsidendist viivitamata, kuid mitte hiljem kui 24
tunni jooksul pärast sellest teadasaamist.“
Nimetatud paragrahv tunnistatakse kehtetuks, kuna NIS2 direktiivi artikliga 42 jäetakse määruse
nr 910/2014 artikkel 19 nimetatud määrusest välja alates 18.10.2024. Viidatud artikli 19 põhisisu
(usaldusteenuse osutajate suhtes kohaldatavad turvanõuded) on NIS2 direktiivi artiklite 21 ja 23
tõttu siinse eelnõu tulemusel edaspidi KüTS §-des 7 ja 8, sh seal viidatud Euroopa Komisjoni
rakendusaktides. Seetõttu toimubki siin vastava paragrahvi kehtetuks tunnistamine.
§ 3. Eesti Rahvusringhäälingu seaduse muudatused
Eelnõu § 3 punktiga 1 tunnistatakse kehtetuks Eesti Rahvusringhäälingu seaduse § 5 lõige 21.
Muudatus on seotud asjaoluga, et kehtivas õiguses on Eesti Rahvusringhäälingu seaduses (§ 5 lg
21, § 34 lg 41), elektroonilise side seaduses (§ 872 lg 6, § 1003 lg 2, § 1004 lg 2, § 1005 lg 2, § 133
lg 5), hädaolukorra seaduses (§ 41 lg 1 ja § 45 lg 1 p 4), lennundusseaduses (§ 591, § 601 lg 5),
raudteeseaduses (§ 8, § 143 lg 1 p 8 ja lg 8), sadamaseaduses (§ 13 lg 4, § 42 lg 5) ja
tervishoiuteenuste korraldamise seaduses (§ 10 lg 2, § 17 lg 12, § 22 lg 42, § 60 lg 2) sätestatud
nõue stiilis „X on kohustatud Y teenuse osutamiseks kasutatavate võrgu- ja infosüsteemide
118 / 151
turvalisuse tagamiseks täitma küberturvalisuse seaduse §-dega 7 ja 8 ning nende alusel
kehtestatud nõudeid“ ning et „Riigi Infosüsteemi Amet teostab viidatud nõude teemal järelevalvet
küberturvalisuse seaduses sätestatud pädevuse piires.“
Eelnõu koostamisel tekkis kolm varianti, kuidas läheneda asjaolule, et eriseadustes on olemas
viited KüTS §-dele 7 ja 8 ning nende nõuete täitmisele vastava KüTSi teenuse osutaja poolt, sh
ka järelevalve teostamise korralduse kohta:
a) eemaldada taolised ristviited valdkondlikes eriseadustes;
b) lisada uute KüTSi teenuse osutajate puhul nende valdkondlikesse eriseadustesse samasisulised
sätted nagu on hetkel eespool mainitud eriseadustes;
c) teha mitte midagi.
Siinse seletuskirja kontekstis mõeldaks eriseaduste all muid seadusi kui KüTSi, mis KüTSi
teenuse osutaja tegevust reguleerib.
Variant c ehk mitte midagi tegemise variant ei sobi, kuna see tekitab olukorra, kus osades
eriseadustes on vastavad õigusnormid ja teistes ei ole. Seega on valik variantide a ja b vahel.
Variant a tulemusena on ühes seaduses ehk KüTSis olemas loetelu kõikidest tema subjektidest
ehk teenuse osutajatest, koos ka vastavate nõuetega, mida teenuse osutajad peavad
küberturvalisuse valdkonnas täitma. See tagab ka suurema selguse ja kindluse, et KüTS on Eesti
õiguses üks ühine horisontaalne õigusakt, millest KüTSi teenuse osutajad lähtuvad. Jah, ka siin
on erisusi, kuid need tulevad ennekõike Euroopa Liidu õiguse nõuetest ning sel teemal näeb
eelnõu ka ette võimaluse valdkonna eest vastutaval ministril määrusega selgitada vastavaid
seoseid (nt finantssektori kontekstis, vt ka eelnõu KüTS § 1 lõikeid 4 ja 41).
Variant b tähendaks, et eelnõuga tuleb täiendada muid valdkondlikke eriseadusi, mis uusi KüTSi
teenuse osutajaid reguleerivad. See tähendaks täienduste või muudatuste tegemist vähemalt
järgmistes seadustes: arenguseire seadus, avaliku teabe seadus, e-identimise ja e-tehingute
usaldusteenuste seadus, elektrituruseadus, elektroonilise side seadus, kaugkütteseadus, kohaliku
omavalitsuse korralduse seadus, maagaasiseadus, metsaseadus, raudteeseadus, sadamaseadus,
väärtpaberituru seadus, veeseadus, postiseadus, Vabariigi Valitsuse seadus kui ka muudes
seadustes, mis reguleerivad avalik-õiguslike juriidiliste isikute tegevust. Nende seaduste arv on
laiem, kuna lisaks uutele KüTSi teenuse osutajatele, tuleks teha ka täiendusi nendes seadustes,
mis reguleerivad avaliku sektori subjekte ehk kehtiva KüTSi puhul § 3 lõikes 4 olevaid
organisatsioone, mis eelnõu tulemusena on edaspidi KüTSiga hõlmatud § 1 lg 13 punktiga 7 ning
lõike 15 punktidega 1–3, 5–8 ja 10. Kui tulevikus lisanduksid KüTSi uusi teenuse osutajate
valdkondi või sektoreid, siis tuleks teha täiendusi ka nendes eriseadustes. See kõik omakorda
suurendab õigusloome mahtu.
Arvestades eeltoodut, on eelnõu koostajad lähtunud variandist a ehk siinse eelnõuga
eemaldatakse eriseadustes viited KüTSi vastavatele sätetele, sh vastavate nõuete järelevalve
korraldusele. See variant on ka väiksema õigusloome mahuga, kuna ei tekita vajadust teha uute
119 / 151
valdkondade eriseadustes sarnaseid ristviiteid KüTSi nõuetele. Kui peaks tekkima vajadus mõne
konkreetse ja kitsa erisuse tekitamiseks eriseaduses, siis saab seda analüüsida vastava KüTSile
tehtava ristviite koostamise käigus.
Eeltoodu tõttu toimub ka Eesti Rahvusringhäälingu seaduse § 5 lõike 21 kehtetuks tunnistamine,
kuna see teeb viite KüTS §-dele 7 ja 8.
Eesti Rahvusringhäälingu osas on asjakohane mainida, et 531 SE ehk KüTSi 2022. a jõustunud
muudatuste tulemusena pidanuks Eesti Rahvusringhääling saama avalik-õiguslik juriidilise
isikuna kogu oma tegevuse osas KüTSi teenuse osutajaks alates 01.01.2027. a. Sel teemal on 531
SE seletuskirja lk-l 29 on märgitud:
„Eelnõu § 3 jäetakse Eesti Rahvusringhäälingu seaduse § 5 lõikest 21 välja sõnad „käesoleva
paragrahvi lõike 1 punktis 10 sätestatud ülesande täitmiseks kasutatavate“.
Eelnõu § 1 punkti 5 juures on selgitatud, miks eemaldatakse Eesti Rahvusringhääling KüTS § 3
lõike 1 loetelust. Nimetatud muudatuse tõttu tuleb ka Eesti Rahvusringhäälingu tegevust
reguleeriv eriseadus, kus on viited KüTS §-de 7 ja 8 kohaldumisele, viia kooskõlla kavandatava
KüTS § 3 lõikega 1 ning lõikega 4. Eesti Rahvusringhäälingu kui teenuse osutaja kohta käivas
eriseaduses tehakse muudatus, et valdkondlik seadus oleks ülejäänud eelnõuga kooskõlas. Siinne
muudatus jõustub samal ajal eelnõu § 1 punktiga 5 ehk 2027. aasta 1. jaanuaril.
Kuivõrd Eesti Rahvusringhääling on teenuse osutaja kehtiva KüTS § 3 lõike 1 punkti 10 alusel
kuni 2026. aasta 31. detsembrini (vt eelnõu § 1 punkti 5 ja § 4 lõike 2 selgitusi) ja eelnõu § 1
punkti 6 kohaselt oleks KüTS § 3 lõike 4 punkti 11 alusel alates 2027. aasta 1. jaanuarist (eelnõu
§ 4 lõike 2 tõttu), siis kohaldatakse samast kuupäevast Eesti Rahvusringhäälingule
küberturvalisuse nõudeid KüTS-i teenuse osutaja kohustusi reguleerivate sätete alusel.“
Vahepeal on toimunud muudatused Eesti Rahvusringhäälingu seaduses 426 SE tõttu, mille
tulemusena on Eesti Rahvusringhääling edaspidi elutähtsa teenuse osutaja hädaolukorra seaduse
tähenduses. 426 SE näeb hädaolukorra seaduse § 38 lõike 13 punktis 3 ette, et uued elutähtsa
teenuse osutajad peavad elutähtsa teenuse toimepidevuse tagamiseks nende suhtes sätestatud
nõuetega vastavusse viima viie aasta jooksul, alates elutähtsa teenuse osutajaks määramisest
arvates. Viimane lauseosa tähendab ennekõike seda, et vastava elutähtsa teenuse osutaja suhtes
on tehtud elutähtsa teenuse osutajaks määramise haldusakt. Seega on Eesti Rahvusringhäälingul
täiendav aeg, et enda tegevus ka eelnõuga KüTSis sätestavate nõuetega vastavusse viia.
Kuigi siinse eelnõuga muudetakse ka hädaolukorra seaduse § 38 lõike 13 punkti 3 sõnastust, siis
selle põhisus jääb samaks. Siin vt eelnõu § 5 punktis 1 olevaid selgitusi.
Eelnõu § 3 punktiga 2 tunnistatakse Eesti Rahvusringhäälingu seaduse § 34 lõige 41 kehtetuks,
kuna see on seotud eelnõu § 3 punkti 1 muudatusega. Kui vastavat muudatust ei tehta, oleks
nimetatud seaduses jätkuvalt nõue, et Riigi Infosüsteemi Amet teostab järelevalvet KüTSi alusel
kommenteeritavas õigusnormis viidatud nõuete täitmise üle.
120 / 151
§ 4. Elektroonilise side seaduse muudatused
Eelnõu § 4 punkt 1 on seotud NIS2 direktiivi ennekõike artikli 43 üle võtmisega, kuid siin on
seos ka NIS2 direktiivi artiklitega 21 ja 23.
Nimetatud paragrahv tunnistatakse kehtetuks, kuna NIS2 direktiivi artikliga 43 jäeti direktiivi nr
2018/1972 artiklid 40 ja 41 nimetatud direktiivist välja alates 18.10.2024. Viidatud artiklite
põhisisu (vastavalt „võrkude ja teenuste turvalisus“ ning „rakendamine ja jõustamine“) on NIS2
direktiivi artiklite 21 ja 23 tõttu siinse eelnõu tulemusel edaspidi KüTS §-des 7 ja 8, sh seal
viidatud Euroopa Komisjoni rakendusaktides. Lisaks on ka kommenteeritava paragrahvi lõikes 6
viide KüTS §-dele 7 ja 8 (vt sel teemal ka eelnõu § 3 punktiga 1 Eesti Rahvusringhäälingu
seaduses tehtava muudatuse selgitusi). Seetõttu toimubki siin vastava paragrahvi kehtetuks
tunnistamine.
Eelnõu § 4 punkt 2 on seotud asjaoluga, et kehtetuks tunnistatavas lõikes on viide KüTS §-dele
7 ja 8. Siin vt eelnõu § 3 punktiga 1 Eesti Rahvusringhäälingu seaduses tehtava muudatuse
selgitusi. Seetõttu toimubki siin vastava paragrahvi kehtetuks tunnistamine.
Eelnõu § 4 punkt 3 on seotud asjaoluga, et kehtetuks tunnistatavas lõikes on viide KüTS §-dele
7 ja 8. Siin vt eelnõu § 3 punktiga 1 Eesti Rahvusringhäälingu seaduses tehtava muudatuse
selgitusi. Seetõttu toimubki siin vastava paragrahvi kehtetuks tunnistamine.
Eelnõu § 4 punkt 4 on seotud asjaoluga, et kehtetuks tunnistatavas lõikes on viide KüTS §-dele
7 ja 8. Siin vt eelnõu § 3 punktiga 1 Eesti Rahvusringhäälingu seaduses tehtava muudatuse
selgitusi. Seetõttu toimubki siin vastava paragrahvi kehtetuks tunnistamine.
Eelnõu § 4 punkt 5 on seotud asjaoluga, et eelnõu § 4 punktidega 1–4 tunnistatakse kehtetuks
ristviited KüTS §-dele 7 ja 8 ning siinse punktiga kehtetuks tunnistatav lõige sätestab eelmainitud
lõigete järelevalve teostamise aspektid. Kui vastavat muudatust ei tehta, oleks nimetatud seaduses
jätkuvalt nõue, et Riigi Infosüsteemi Amet teostab järelevalvet elektroonilise side seaduse ja
KüTSi alusel kommenteeritavas õigusnormis viidatud nõuete täitmise üle. Siin vt täiendavalt ka
eelnõu § 3 punktiga 1 Eesti Rahvusringhäälingu seaduses tehtava muudatuse selgitusi. Seetõttu
toimubki siin vastava paragrahvi kehtetuks tunnistamine.
Eelnõu § 4 punkt 6 on seotud eelnõu § 4 punktidega 1 ja 7 ehk see on seotud ennekõike NIS2
direktiivi artikli 43 üle võtmisega. Elektroonilise side seaduse § 1701 näeb ette väärteokoosseisu
sidevõrkude ja -teenuste turvalisusele ning terviklikkusele kehtestatud nõuete rikkumisel.
Vastavate nõuete sisu on määratletud sama seaduse §-s 872, mis tunnistatakse eelnõu § 4 punktiga
1 kehtetuks. Siinse väärteokoosseisu põhisisu hakkab edaspidi olema KüTSi 5. peatükis.
Eelnõu § 4 punkt 7 on seotud eelnõu § 4 punktidega 1 ja 6 ehk see on seotud ennekõike NIS2
direktiivi artikli 43 üle võtmisega. Siinse punktiga kehtetuks tunnistatava lõike sisu määratleb
ära, et Riigi Infosüsteemi Amet on elektroonilise side seaduse §-s 1701 sätestatud väärteo
kohtuväline menetleja. Kuna viidatud väärteokoosseis tunnistatakse kehtetuks ja selle põhisisu on
edaspidi KüTSis, siis tuleb ka menetluspädevuse määratlemisega seotud õigusnorm kehtetuks
tunnistada.
121 / 151
§ 5. Hädaolukorra seaduse muudatused
Eelnõu 5 punkt 1 on seotud asjaoluga, et lisaks käesolevale eelnõule on ettevalmistamisel
täiendav eelnõu, mis on seotud hädaolukorra seaduse § 41 lõike 2 muutmisega. Tolles eelnõus
muudetakse viidatud lõike sõnastust ja tehakse ka muudatused tolle lõike järelevalve pädevuse
osas: Riigi Infosüsteemi Ameti asemel teeb seda elutähtsa teenuse toimepidevust korraldav asutus
või tema hädaolukorra seaduse § 37 lõike 5 alusel määratud asutus. Kuna eelnõu § 5 punktiga 3
tunnistatakse kehtetuks sama hädaolukorra seaduse § 41 lõige 1, siis siinset muudatust tegemata
tekiks olukord, kus kommenteeritava punktiga seotud õigusnorm ei määratleks ühemõtteliselt, et
elutähtsa teenuse osutaja puhul on üleminekuaeg küberturvalisuse seaduse nõuete täitmiseks kuni
viis aastat alates elutähtsa teenuse osutajaks määramisest arvates.
Eelnõu § 5 punkt 2 on seotud asjaoluga, et lisaks käesolevale eelnõule on ettevalmistamisel
täiendav eelnõu, mis on seotud hädaolukorra seaduse § 41 lõike 2 muutmisega. Tolles eelnõus
muudetakse viidatud lõike sõnastust ja tehakse ka muudatused tolle lõike järelevalve pädevuse
osas: Riigi Infosüsteemi Ameti asemel teeb seda elutähtsa teenuse toimepidevust korraldav asutus
või tema hädaolukorra seaduse § 37 lõike 5 alusel määratud asutus. Seetõttu tuleb
kommenteeritavat lõiget muuta nii, et selle lõike kohane konsulteerimine Riigi Infosüsteemi
Ametiga toimub ainult küberturvalisuse seaduses sätestatud nõuete ulatuses. Vastasel juhul tekib
olukord, kus Riigi Infosüsteemi Ametiga konsulteeritakse teemal, mis ei ole Ameti järelevalve
pädevuses.
Eelnõu § 5 punkt 3 on seotud asjaoluga, et kehtetuks tunnistatavas lõikes on viide KüTS §-dele
7 ja 8. Siin vt eelnõu § 3 punktiga 1 Eesti Rahvusringhäälingu seaduses tehtava muudatuse
selgitusi. Seetõttu toimubki siin vastava paragrahvi kehtetuks tunnistamine.
§ 6. Käibemaksuseaduse muudatused
Eelnõu §-ga 6 tehtav muudatus on tehniline muudatus. Kommenteeritava lõike kehtiv sõnastus
on:
„(12) Kui isik võimaldab küberturvalisuse seaduse tähenduses internetipõhise kauplemiskoha
kaudu ühendusevälisest riigist imporditud kaupade kaugmüüki saadetistes, mille tegelik väärtus
ei ületa 150 eurot, loetakse, et internetipõhist kauplemiskohta omav isik on soetanud ja
võõrandanud need kaubad ise. Tegelikku väärtust mõistetakse käesolevas seaduses komisjoni
delegeeritud määruse (EL) 2015/2446, millega täiendatakse Euroopa Parlamendi ja nõukogu
määrust (EL) nr 952/2013 seoses liidu tolliseadustiku teatavaid sätteid täpsustavate üksikasjalike
eeskirjadega (ELT L 343, 29.12.2015, lk 1–557), tähenduses.“
Too lõige määratleb, et „internetipõhise kauplemiskoha“ sisu on defineeritud KüTS § 2 punktis 5,
kuid eelnõu tulemusena muutub viidatud KüTSi termini sõnastus ehk edaspidi on tolle termini
sisu defineeritud kui „internetipõhine kauplemiskoht tarbijakaitseseaduse tähenduses“. Siin vt ka
viidatud KüTSi punkti seletust eelnõus ja seletuskirjas.
122 / 151
Kommenteeritavas paragrahvis muudatust tegemata tekib olukord, kus käibemaksuseadus viitab
KüTSi terminile, mis omakorda viitab tarbijakaitseseaduse terminile. Ehk tekib kaks edasiviidet
seadustele, mis ei ole kohane.
§ 7. Lennundusseaduse muudatused
Eelnõu § 7 punkt 1 on seotud asjaoluga, et kehtetuks tunnistatavas paragrahvis on viide KüTS §-
dele 7 ja 8. Siin vt eelnõu § 3 punktiga 1 Eesti Rahvusringhäälingu seaduses tehtava muudatuse
selgitusi. Seetõttu toimubki siin vastava paragrahvi kehtetuks tunnistamine.
Eelnõu § 7 punkt 2 on seotud asjaoluga, et eelnõu § 7 punktiga 1 tunnistatakse kehtetuks
ristviide KüTS §-dele 7 ja 8 ning siinse punktiga kehtetuks tunnistatav lõige sätestab eelmainitud
lõigete järelevalve teostamise aspektid. Kui vastavat muudatust ei tehta, oleks nimetatud seaduses
jätkuvalt nõue, et Riigi Infosüsteemi Amet teostab järelevalvet KüTSi alusel kommenteeritavas
õigusnormis viidatud nõuete täitmise üle. Siin vt täiendavalt ka eelnõu § 3 punktiga 1 Eesti
Rahvusringhäälingu seaduses tehtava muudatuse selgitusi. Seetõttu toimubki siin vastava
paragrahvi kehtetuks tunnistamine.
Eelnõu § 7 punktiga 3 tunnistatakse kehtetuks lennundusseaduse § 6056 lõige 3, kuna see
sätestab, et Riigi Infosüsteemi Amet on kohtuväline menetleja sama seaduse §-s 6044 sätestatud
väärteo (elektroonilise turvalisuse nõuete rikkumine) korral. Kuna viidatud väärteokoosseis on
juba varasemalt tunnistatud kehtetuks ja selle põhisisu on edaspidi KüTSis, siis tuleb ka
menetluspädevuse määratlemisega seotud õigusnorm kehtetuks tunnistada.
§ 8. Raudteeseaduse muudatused
Eelnõu § 8 punkt 1 on seotud asjaoluga, et kehtetuks tunnistatavas paragrahvis on viide KüTS §-
dele 7 ja 8. Siin vt eelnõu § 3 punktiga 1 Eesti Rahvusringhäälingu seaduses tehtava muudatuse
selgitusi. Seetõttu toimubki siin vastava paragrahvi kehtetuks tunnistamine.
Eelnõu § 8 punkt 2 on seotud asjaoluga, et eelnõu § 8 punktiga 1 tunnistatakse kehtetuks
ristviide KüTS §-dele 7 ja 8 ning siinse punktiga kehtetuks tunnistatav lõige sätestab Riigi
Infosüsteemi Ameti pädevuse teostada riiklikku järelevalvet raudteeseaduse ja selle alusel
kehtestatud õigusaktide nõuete täitmise üle. Kui vastavat muudatust ei tehta, oleks nimetatud
seaduses jätkuvalt nõue, et Riigi Infosüsteemi Amet teostab järelevalvet raudteeseaduse üle. Siin
vt täiendavalt ka eelnõu § 3 punktiga 1 Eesti Rahvusringhäälingu seaduses tehtava muudatuse
selgitusi. Seetõttu toimubki siin vastava paragrahvi kehtetuks tunnistamine.
Eelnõu § 8 punkt 3 on seotud asjaoluga, et eelnõu § 8 punktiga 1 tunnistatakse kehtetuks
ristviide KüTS §-dele 7 ja 8 ning siinse punktiga kehtetuks tunnistatav lõige sätestab eelmainitud
lõigete järelevalve teostamise aspektid. Siin on ka seos eelnõu § 8 punktiga 2 ehk raudteeseaduse
§ 143 lg 1 punkti 6 kehtetuks tunnistamisega. Kui vastavat muudatust ei tehta, oleks nimetatud
seaduses jätkuvalt nõue, et Riigi Infosüsteemi Amet teostab järelevalvet KüTSi alusel
kommenteeritavas õigusnormis viidatud nõuete täitmise üle. Siin vt täiendavalt ka eelnõu § 3
punktiga 1 Eesti Rahvusringhäälingu seaduses tehtava muudatuse selgitusi. Seetõttu toimubki
siin vastava paragrahvi kehtetuks tunnistamine.
123 / 151
Eelnõu § 8 punkt 4 on seotud ülejäänud käesoleva eelnõu §-ga 8 tehtavate muudatustega. Kuna
siinse eelnõuga võetakse välja raudteeseadusest õigusnormid, et raudteeseaduses oleva ühe nõude
üle teostab järelevalvet ka Riigi Infosüsteemi Amet, siis puudub ka vajadus säilitada
kommenteeritavas seaduses ka nõue, et Riigi Infosüsteemi Amet on kohustatud tagama talle
riikliku järelevalve tegemisel teatavaks saanud äri- ja tehnikaalase teabe konfidentsiaalsuse, kui
seadus ei näe ette selle avaldamist.
§ 9. Sadamaseaduse muudatused
Eelnõu § 9 punkt 1 on seotud asjaoluga, et kehtetuks tunnistatavas lõikes on viide KüTS §-dele
7 ja 8. Siin vt eelnõu § 3 punktiga 1 Eesti Rahvusringhäälingu seaduses tehtava muudatuse
selgitusi. Seetõttu toimubki siin vastava paragrahvi kehtetuks tunnistamine.
Eelnõu § 9 punkt 2 on seotud asjaoluga, et eelnõu § 9 punktiga 1 tunnistatakse kehtetuks
ristviide KüTS §-dele 7 ja 8 ning siinse punktiga kehtetuks tunnistatav lõige sätestab eelmainitud
lõigete järelevalve teostamise aspektid. Kui vastavat muudatust ei tehta, oleks nimetatud seaduses
jätkuvalt nõue, et Riigi Infosüsteemi Amet teostab järelevalvet KüTSi alusel kommenteeritavas
õigusnormis viidatud nõuete täitmise üle. Siin vt täiendavalt ka eelnõu § 3 punktiga 1 Eesti
Rahvusringhäälingu seaduses tehtava muudatuse selgitusi. Seetõttu toimubki siin vastava
paragrahvi kehtetuks tunnistamine.
§ 10. Tervishoiuteenuste korraldamise seaduse muudatused
Eelnõu § 10 punkt 1 on seotud asjaoluga, et kehtetuks tunnistatavas lõikes on viide KüTS §-dele
7 ja 8. Siin vt eelnõu § 3 punktiga 1 Eesti Rahvusringhäälingu seaduses tehtava muudatuse
selgitusi. Seetõttu toimubki siin vastava paragrahvi kehtetuks tunnistamine.
Eelnõu § 10 punkt 2 on seotud asjaoluga, et kehtetuks tunnistatavas lõikes on viide KüTS §-dele
7 ja 8. Siin vt eelnõu § 3 punktiga 1 Eesti Rahvusringhäälingu seaduses tehtava muudatuse
selgitusi. Seetõttu toimubki siin vastava paragrahvi kehtetuks tunnistamine.
Eelnõu § 10 punkt 1 on seotud asjaoluga, et kehtetuks tunnistatavas lõikes on viide KüTS §-dele
7 ja 8. Siin vt eelnõu § 3 punktiga 1 Eesti Rahvusringhäälingu seaduses tehtava muudatuse
selgitusi. Seetõttu toimubki siin vastava paragrahvi kehtetuks tunnistamine.
Eelnõu § 10 punkt 4 on seotud asjaoluga, et eelnõu § 10 punktidega 1-3 tunnistatakse kehtetuks
ristviide KüTS §-dele 7 ja 8 ning siinse punktiga kehtetuks tunnistatav lõige sätestab eelmainitud
lõigete järelevalve teostamise aspektid. Kui vastavat muudatust ei tehta, oleks nimetatud seaduses
jätkuvalt nõue, et Riigi Infosüsteemi Amet teostab järelevalvet KüTSi alusel kommenteeritavas
õigusnormis viidatud nõuete täitmise üle. Siin vt täiendavalt ka eelnõu § 3 punktiga 1 Eesti
Rahvusringhäälingu seaduses tehtava muudatuse selgitusi. Seetõttu toimubki siin vastava
paragrahvi kehtetuks tunnistamine.
§ 11. Seaduse jõustumine
Eelnõu § 11 näeb ette eelnõu jõustumise.
NIS2 direktiivi artikli 41 (ülevõtmine) lõikes 1 on ette nähtud:
124 / 151
„1. Liikmesriigid võtavad [NIS2 direktiivi] järgimiseks vajalikud meetmed vastu ja avaldavad
need hiljemalt 17. oktoobriks 2024. Liikmesriigid teatavad nendest viivitamata [Euroopa
Komisjonile].
Nad kohaldavad kõnealuseid meetmeid alates 18. oktoobrist 2024.“
Kuna nimetatud kuupäev on möödunud, siis saaks eelnõu jõustumise määrata ka kui üldises
korras. Samas leiavad eelnõu koostajad, et õiguskindluse ja ettenägevuse tagamiseks on
kasulikum määrata jõustumine konkreetse kuupäevaga – seetõttu on eelnõu jõustumise
kuupäevaks määratud 2025. aasta 1. juuli. See võimaldab ka piisava aja, et ette valmistada
vajalikud Vabariigi Valitsuse ja ministrite määruste muudatused.
Eelnõu menetluse käigus (avalikul kooskõlastusringil kui ka Riigikogus) saab hinnata, kas seda
kuupäeva on vaja muuta hilisemaks kuupäevaks.
4. Eelnõu terminoloogia
4.1. üksus - füüsiline isik või juriidiline isik, kes on asutatud ja keda tunnustatakse tema
tegevuskohajärgse riigisisese õiguse kohaselt, kes võib enda nimel omada õigusi ja kanda
kohustusi
4.2. keskvalitsuse avaliku halduse üksus - üksuse üldnimetus, mille puhul on mõeldud
üksustest Eesti Panka, Finantsinspektsiooni, kohtuasutust, riigi valimisteenistust, Riigikogu
Kantseleid, Riigikontrolli, Vabariigi Presidendi Kantseleid, valitsusasutust, valitsusasutuse
hallatav riigiasutust ja Õiguskantsleri Kantseleid
4.3. kohaliku tasandi avaliku halduse üksus - üksuse üldnimetus, mille puhul on mõeldud
üksustest kohaliku omavalitsuse üksust, valla või linna ametiasutust, valla või linna ametiasutuse
hallatavat asutust, osavalda, linnaosa, osavalla või linnaosa ametiasutust, osavalla või linnaosa
ametiasutuse hallatavat asutust ning kohaliku omavalitsuse üksuste ühisametit ja -asutust
4.4. küberturvalisus - Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881 artikli 2 punktis
1 määratletud küberturvalisus
4.5. süsteemi turvalisus - süsteemi võime osutada vastupanu mis tahes sündmusele, mis ohustab
süsteemis töödeldavate andmete või süsteemi kaudu osutatavate või juurdepääsetavate teenuste
käideldavust, autentsust, terviklust ja konfidentsiaalsust
4.6. ulatuslik küberintsident - küberintsident, mille põhjustatud häired on niivõrd laialdased, et
üks liikmesriik ei suuda nendega toime tulla või millel on märkimisväärne mõju vähemalt kahele
liikmesriigile
4.7. küberintsidendi käsitlemine - toimingud ja menetlused, mille eesmärk on küberintsidenti
ennetada, tuvastada, analüüsida, ohjata või lahendada ja sellest taastuda
125 / 151
4.8. risk - küberintsidendist tingitud kahju või häire võimekus, mida tuleb väljendada sellise
kahju või katkestuse ulatust ja kõnealuse küberintsidendi esinemise võimalikkust arvesse võtva
kombineeritud näitajana
4.9. küberoht - Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881 artikli 2 punktis 8
määratletud küberoht
4.10. oluline küberoht - küberoht, mille tehniliste näitajate põhjal võib eeldada, et sellel võib
olla tõsine mõju teenuse osutaja süsteemile või üksuse süsteemide kasutajatele, tekitades
märkimisväärset varalist või mittevaralist kahju
4.11. nõrkus - IKT-toote või -teenuse nõrkus, tundlikkus või viga, mida küberohu tekitaja võib
ära kasutada
4.12. IKT-toode - Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881 artikli 2 punktis 12
määratletud IKT-toode
4.13. IKT-teenus - Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881 artikli 2 punktis 13
määratletud IKT-teenus
4.14. IKT-protsess - Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881 artikli 2 punktis
14 määratletud IKT-protsess
4.15. interneti vahetuspunkt - võrgustik, mis võimaldab rohkem kui kahe sõltumatu võrgu
omavahelist ühendamist, eelkõige selleks, et hõlbustada internetiliikluse vahetust; see võimaldab
üksnes autonoomsete süsteemide omavahelist ühendamist ega nõua kahe osaleva autonoomse
süsteemi vahel toimuva internetiliikluse kulgemist mõne kolmanda autonoomse süsteemi kaudu,
ei muuda sellist liiklust ega sekku sellesse mingil muul viisil
4.16. domeeninimede süsteem - hierarhiline ja hajus nimesüsteem, mis võimaldab tuvastada
internetiteenuseid ja -ressursse, võimaldades lõppkasutaja seadmetel kasutada
internetimarsruutimise ja ühenduvuse teenuseid, et jõuda nende teenuste ja ressurssideni
4.17. domeeninimede süsteemi teenuse osutaja - üksus, kes osutab interneti lõppkasutajatele
üldsusele kättesaadavat domeeninime rekursiivse teisendamise teenust, või kolmandatele
isikutele kasutuseks domeeninime autoriteetse teisendamise teenust, välja arvatud
juurnimeserverid
4.18. tippdomeeninimede register - üksus, kellele on delegeeritud Eesti maatunnusega seotud
tippdomeen ja kes vastutab selle tippdomeeni haldamise eest, sealhulgas tippdomeeni
alldomeeninimede registreerimise eest ja tippdomeeni tehnilise toimimise eest, sealhulgas
nimeserverite käitamise, andmebaaside hooldamise ning nimeserverite vahel tippdomeeni
tsoonifailide jaotamise eest, olenemata sellest, kas mõne neist toimingutest teeb üksus ise või
ostetakse need sisse, kuid välja arvatud olukorrad, kus tippdomeeninimesid kasutab register ise
ainult enda tarbeks
126 / 151
4.19. domeeninimede registreerimise teenuseid osutav üksus - tippdomeeninimede registri
registripidaja või registripidaja nimel tegutsev esindaja, näiteks registreerimisega seotud
privaatsusteenuse või proksiteenuse osutaja või edasimüüja
4.20. usaldusteenuse osutaja - Euroopa Parlamendi ja nõukogu määruse (EL) nr 910/2014
artikli 3 punktis 19 määratletud usaldusteenuse osutaja;
4.21. kvalifitseeritud usaldusteenuse osutaja - Euroopa Parlamendi ja nõukogu määruse (EL)
nr 910/2014 artikli 3 punktis 20 määratletud kvalifitseeritud usaldusteenuse osutaja
4.22. internetipõhine kauplemiskoht - internetipõhine kauplemiskoht tarbijakaitseseaduse
tähenduses
4.23. veebipõhine otsingumootor - Euroopa Parlamendi ja nõukogu määruse (EL) 2019/1150,
mis käsitleb õigluse ja läbipaistvuse edendamist veebipõhiste vahendusteenuste ärikasutajate
jaoks, artikli 2 punktis 5 määratletud veebipõhine otsingumootor
4.24. pilvandmetöötlusteenus - infoühiskonna teenus, mis võimaldab jagatavate
andmetöötlusressursside skaleeritava ja paindliku kogumi nõudepõhist haldamist ning ulatuslikku
kaugpääsu sellele kogumile, sealhulgas juhul, kui need ressursid paiknevad hajutatult erinevates
kohtades
4.25. andmekeskusteenus - teenus, mis hõlmab struktuure või struktuuride rühmi, mis on ette
nähtud andmete talletamiseks, töötlemiseks ja edastamiseks kasutatavate infotehnoloogia- ja
võrguseadmete keskseks majutamiseks, omavahel sidumiseks ja käitamiseks, sealhulgas kõiki
energiajaotuse ja keskkonnakontrolliga seotud vahendeid ja taristuid
4.26. sisulevivõrk - geograafiliselt hajutatud serverite võrk, mille eesmärk on tagada digisisu ja
infoühiskonna teenuse laialdane kättesaadavus, neile juurdepääsetavus või nende kiire
edastamine internetikasutajatele sisu- ja teenusepakkujate nimel
4.27. sotsiaalvõrguteenuse platvorm - platvorm, mis võimaldab lõppkasutajatel vastastikku
ühendust pidada, sisu jagada, teavet otsida ja suhelda mitme seadme kaudu, eelkõige vestluste,
postituste, videote ja soovituste vormis
4.28. digitaalse teenuse osutaja - üksuse üldnimetus, mille puhul on mõeldud üksustest
domeeninimede süsteemi teenuse osutajat, tippdomeeninimede registrit, domeeninimede
registreerimise teenuseid osutavat üksust, pilvandmetöötlusteenuse osutajat, andmekeskusteenuse
osutajat, sisulevivõrkude pakkujat, hallatud teenuse osutajat, turbetarnijat, internetipõhise
kauplemiskoha, veebipõhise otsingumootori või sotsiaalvõrguteenuse platvormi pakkujat
4.29. digitaalse teenuse osutaja esindaja - Euroopa Liidus asuv füüsiline või juriidiline isik, kes
on määratud tegutsema väljaspool Euroopa Liitu asuva digitaalse teenuse osutaja nimel ja kelle
poole võib Riigi Infosüsteemi Amet pöörduda seoses digitaalse teenuse osutaja kohustustega
127 / 151
4.30. küberturbe intsidentide lahendamise üksus - ekspertide grupp, kelle ülesandeks on
küberintsidendi tuvastamist, analüüsimist ja ohjeldamist ning küberintsidendile reageerimist
toetavad toimingud
4.31. üldkasutatav elektroonilise side võrk - elektroonilise side seaduse tähenduses
üldkasutatav elektroonilise side võrk
4.32. elektroonilise side teenus - elektroonilise side seaduse tähenduses elektroonilise side
teenus
4.33. hallatud teenuse osutaja - üksus, kes osutab teenuseid, mis on seotud IKT-toodete,
võrkude, taristu, rakenduste või muude süsteemide paigaldamise, haldamise, käitamise või
hooldamisega toe või aktiivse haldamise kaudu kas klientide ruumides või kaugteel
4.34. turbetarnija - hallatud teenuste osutaja, kes viib ellu küberturvalisuse riskijuhtimisega
seotud tegevust või pakub selleks tuge
4.35. teadusasutus - üksus, kelle peamine eesmärk on viia ellu rakendusuuringuid või
tootearendust eesmärgiga kasutada selliste teadusuuringute tulemusi ärilistel eesmärkidel, kuid
mis ei hõlma haridusasutusi
4.36. elutähtis üksus - KüTS § 3 lõikes 12 loetletud üksused; kui toimub KüTS § 1 lõike 16
alusel Vabariigi Valitsuse määruse andmine, siis ka samas määruses määratletud üksused
4.37. oluline üksus - KüTS § 3 lõikes 13 loetletud üksused; kui toimub KüTS § 1 lõike 16 alusel
Vabariigi Valitsuse määruse andmine, siis ka samas määruses määratletud üksused
5. Eelnõu vastavus Euroopa Liidu õigusele
Eelnõu vastavus Euroopa Liidu õigusele
Eelnõuga toimub järgneva Euroopa Liidu direktiivi ja Euroopa Komisjoni delegeeritud määruse
kohaseks rakendamiseks vajalike õigusnormide loomine:
1) Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555, mis käsitleb meetmeid,
millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse
määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks
direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk 80 -
152);
2) Euroopa Komisjoni delegeeritud määrus (EL) 2024/1366, millega täiendatakse Euroopa
Parlamendi ja nõukogu määrust (EL) 2019/943 ning kehtestatakse võrgueeskiri piiriüleste
elektrivoogude küberturvalisust käsitlevate sektoripõhiste normide kohta (ELT L,
24.5.2024, lk 1-44).
Eelnõu vastab Euroopa Liidu õigusele, sh NIS2 direktiivi üle võtmisega seotud vastavustabel on
seletuskirja lisas 1. Olemasoleva õiguse osas (mida nt ei muudeta) kohaldub ka NIS2 direktiivi
artikkel 5, mis näeb ette järgneva: „[NIS2 direktiiv] ei takista liikmesriike tarbijate kaitseks vastu
128 / 151
võtmast või kehtima jätmast sätteid, millega tagatakse kõrgem küberturvalisuse tase, tingimusel
et sellised sätted on kooskõlas liikmesriikide kohustustega, mis on sätestatud liidu õiguses.“ Iga
siinse eelnõuga tehtava muudatuse puhul on vastava eelnõu sätte juures võrreldud muudetava
sätte vastavust Euroopa Liidu õigusele, sh tuuakse välja ka vajaduse korral võimalikud
alternatiivid sõnastuse osas.
6. Seaduse mõjud
Seadusega võetakse Eesti õigusesse üle NIS2 direktiiv ning tekitatakse õigusnormid, mis on
vajalikud delegeeritud määruses 2024/1366 kohaseks rakendamiseks.
NIS2 direktiivi ettevalmistamisel hinnati eraldi ka selle mõjusid Euroopa Liidu üleselt.49 Esimene
küberturvalisuse direktiiv ehk direktiiv 2016/1148 sillutas paljudes liikmesriikides teed olulisele
mõtteviisi muutusele ning pani aluse institutsioonilise ja regulatiivse lähenemisviisi kujunemisele
küberturvalisuse valdkonnas, on andnud küll märkimisväärseid tulemusi, kuid selle võimalused
on osutunud piiratuks. Ühiskonna digiüleminek (mida võimendas COVID-19 kriis) on
ohumaastikku laiendanud ning toonud kaasa uusi probleeme, mis nõuavad kohandatud ja
uuenduslikke lahendusi. Küberrünnete arv kasvab endiselt, need on üha keerukamad ning
pärinevad paljudest eri allikatest nii Euroopa Liidus kui ka mujal. Tuginedes [direktiivi
2016/1148] toimivuse hindamisele, tuvastati mõjuhinnanguga järgmised probleemid: Euroopa
Liidus tegutsevate ettevõtjate kübervastupidavusvõime madal tase; ebaühtlane
vastupidavusvõime tase liikmesriikide ja sektorite tasandil ning ühise olukorrateadlikkuse madal
tase ja ühistegevuse puudulikkus kriisidele reageerimisel.50
Eelnõu toob kaasa muudatusi KüTSis olevatele kui ka sinna lisanduvatele üksustele, kuid
olenevalt konkreetsest ülesandest võib konkreetne mõju olla ainult osadel või kõigil üksustel ehk
subjektidel.
Delegeeritud määruse 2024/1366 ette valmistamisel toimus avalik konsultatsioon, sh ka eel-
konsultatsioonid.51 Nende sisu siinses seletuskirjas täiendavalt ei analüüsita ega korrata.
Järgnevalt esitatakse eelnõuga vastuvõetavate sätete mõjud Eestis. Seletuskirjas siinses osas
markeeritud muudatustel on teatav mõju, kuid ülejäänud muudatustel oluline mõju puudub.
49 Kättesaadav https://eur-lex.europa.eu/legal-content/ET/HIS/?uri=uriserv:OJ.L_.2022.333.01.0080.01.EST;
konkreetsemalt Euroopa Komisjoni ettepaneku rubriigi alt, dokumentidest numbritega 52020PC0823,
52020SC0345 ja 52020SC0344. Lisaks veel: https://eur-lex.europa.eu/legal-
content/EN/PIN/?uri=celex:52020PC0823 ja https://ec.europa.eu/info/law/better-regulation/have-your-
say/initiatives/12475-Kuberturvalisus-vorgu-ja-infosusteemide-turvalisust-kasitlevate-ELi-oigusnormide-
labivaatamine_et. 50 Euroopa Komisjoni talituste töödokument mõju hindamise aruande kommenteeritud kokkuvõte; lisatud
dokumendile: Ettepanek: EUROOPA PARLAMENDI JA NÕUKOGU DIREKTIIV, mis käsitleb meetmeid, millega
tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega tunnistatakse kehtetuks direktiiv 2016/1148. A
osa – kättesaadav: https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=celex%3A52020SC0344. 51 https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13101-ELi-elektrivarustus-
kuberturvalisust-kasitlevad-sektoripohised-normid-vorgueeskiri-_et ja https://www.entsoe.eu/network_codes/nccs/.
129 / 151
6.1. Kavandatav muudatus: KüTSi kohaldamisalasse kuuluvate üksuste nimekirja täiendamine
Delegeeritud määruse 2024/1366 kohaldamisalasse kuuluvaid subjekte uuesti KüTSis ei korrata,
kuna tegemist on otsekohalduva määrusega. Seetõttu siinses osas nende subjektide lisandumist
täiendavalt ei analüüsita.
NIS2 direktiivi ette valmistamisel oli soov välistada olukord, kus mikro- ja väikeettevõtjad
satuvad NIS2 direktiivi kohaldamisalasse. Seetõttu ongi peamiseks lävendiks määratud keskmise
suurusega ettevõtja suurust, arvestades soovituse 2003/361/EÜ soovituse lisa artiklis 2 olevaid
kriteeriume. Samas ei ole seda siiski suudetud välistada – näiteks, kui on sõnaselgelt ette nähtud,
et mingi üksus hõlmatakse NIS2 direktiivi alla, olenemata tema suurusest (nt elutähtsa teenuse
osutajad), mis võib kaasa tuua ka mikro- ja väikeettevõtjate lisandumist KüTSi kohaldamisalasse.
Eelnõuga tehakse KüTS §-s 1 täiendusi, mille tulemusena määratakse selle lõigetes 11–15
kindlaks, millised üksused on KüTSi kohaldamisalas. Lisaks tekitatakse eelnõuga samasse
paragrahvi lõikega 16 ka Vabariigi Valitsuse määruse volitus selleks, et võimaldada vajadusel
paindlikumalt lisada uusi üksusi KüTSi (hetkel ei ole planeeritud seda määrust kehtestada, vaid
see võimalus võiks jääda tulevikuks). Osad eelmainitud lõigetes olevatest üksustest on ka KüTSi
kehtiva versiooni tulemusel hõlmatud KüTSi alla ehk siin toimub selles osas kehtiva õiguse
säilitamine.
Eeltoodu tulemusena saab jagada KüTSi subjektid kahte gruppi: 1) olemasolevad subjektid ja 2)
uued subjektid. Seletuskirjas on eelnõu KüTS § 1 lõigete 12, 13 ja 15 iga konkreetse subjekti
määratleva kategooria ehk punkti juures ka Riigi Infosüsteemi Ameti esialgne hinnang, kui palju
üksusi vastavale sõnastusele vastab, sh lõikes 12 vastava punkti korral ka, kui paljud neist on
hõlmatud suuruse kriteeriumi (vt eelnõu KüTS § 1 lõiget 11) tõttu KüTSi kohaldamisalasse. Neid
arvusid siin ei korrata, kuid üldistatult saab kokku võtta, et olemasolevaid subjekte on 3537 ning
uusi subjekte on u 2000 ehk kokku on u 5500 subjekti, kellele KüTSi nõuded hakkavad
kohalduma. Nende arvude puhul tuleb arvestada ka asjaoluga, et ilmselt osa subjekte vastavad
mitmele tunnusele: näiteks on tegemist nii keskvalitsuse avaliku halduse üksusega kui ka avaliku
teabe seaduse tähenduses andmekogu vastutava töötlejaga või volitatud töötlejaga; või näiteks
tegemist on elutähtsa teenuse osutajaga ning samal ajal ka üldkasutatava elektroonilise side võrgu
pakkujaga; või tegemist on vee-ettevõtjaga, kuid kes samal ajal tegutseb ka reovee valdkonnas.
Samuti tuleb ka arvestada võimalusega, et esialgne analüüs subjektide arvu osas toetub
poolikutele algandmetele või eeldustele, mistõttu on ka eespool märgitud, et eelnõu koostajatena
ootame tagasisidet, kas esialgsed arvud on õiged või õiges suurusjärgus.
Eeltoodud arvude puhul tuleb arvestada ka asjaoluga, et domeeninimede registreerimise teenuseid
osutavatele üksustele (suurusjärgus 10 tk) ei kohaldata kõiki KüTSi nõudeid – siin vt eelnõu
KüTS § 2 punkti 45 selgitusi.
NIS2 direktiivi ettevalmistamisel eraldi analüüsiti ka võrreldes direktiiviga 2016/1148
lisanduvate sektorite ja subjektide lisandumist, mistõttu nende lisandumist siinses seletuskirjas ei
130 / 151
analüüsita.52 Võrreldes kehtiva õiguse säilitamise ja NIS2 direktiiviga lisanduvatele üksustele on
ainukeseks täiesti uueks subjektiks Riigi Kinnisvara AS (vt eelnõu KüTS § 1 lg 15 punkti 2 ning
selle selgitust) ja Finantsinspektsioon (siin vt ka eelnõu KüTS § 1 lg 13 punkti 7 ja § 2 punkti 12
ning nende selgitusi). Sama käsitlust ei saa anda riigi tegevusvaru haldaja ehk Eesti Varude
Keskuse osas, kuna NIS2 direktiiv näeb ette, et ühe tema tegevuse osas on vaja määrata
subjektiks ka nimetatud ettevõte (vt eelnõu KüTS § 1 lg 15 punkti 3 selgitust seletuskirjas).
Eelnõul puudub oluline mõju regionaalarengule ning muud otsesed või kaudsed mõjud. Eelnõuga
toimuv KüTSi subjektide nimekirja täiendamine võib kaasa tuua seletuskirja järgnevates osades
kirjeldatud mõjud.
6.1.1. Sotsiaalne, sealhulgas demograafiline mõju
Subjektide ringi laienemine ei tekita ettevõtjale märkimisväärset sotsiaalset mõju.
Eelnõul on positiivne mõju isikutele (füüsilistele ja juriidilistele), kelle andmed asuvad
olemasolevate kui ka uute subjektide võrgu- ja infosüsteemides. Muudatus võib mõjutada ka
inimeste karjäärivalikuid tegelemaks infotehnoloogia sektoriga, sh suurendab inimeste
teadlikkust küberturvalisuse valdkonna kohta.
Ulatus väike, sagedus keskmine, ebasoovitatavate mõjude risk väike.
6.1.2. Mõju riigi julgeolekule ja välissuhetele
Uute subjektide nimekirja täiendamine omab positiivset mõju riigi julgeolekule ja välissuhetele,
kuna annab selguse, mis sektorite ja valdkondade osas on ette nähtud ühised küberturvalisuse
nõuded, mis on samaväärsed teistes Euroopa Liidu liikmesriikides olevate nõuetega.
Eelnõuga luuakse piiriülesed mehhanismid küberintsidentide tõhusamaks lahendamiseks ning
suurendatakse riikidevahelist koostööd, mis omab teatavat mõju ka piiriüleselt tegutsevatele
ettevõtetele.
Paralleelset mõjutab turvalisus ka Eesti kui e-ühiskonna positiivset kuvandit ning suurendab meie
koostööd nii riigi tasandil riigi ja ettevõtete vahel kui ka rahvusvahelisel areenil.
Ulatus keskmine, sagedus väike, ebasoovitatavate mõjude risk väike.
6.1.3. Mõju majandusele
Võrgu- ja infosüsteemide turvalisusel on vahetu mõju majanduskeskkonna toimimisele. Vastus
Eesti majanduse väljakutseks peetud suutlikkusele pakkuda kõrgema lisandväärtusega tooteid ja
teenuseid seisneb suuresti digilahenduste kasutuselevõtus või uute digitaalsete toodete
pakkumises. Oodatav konkurentsieelis realiseerub vaid juhul, kui digitaalsete lahenduste
toimepidevus, terviklus ja konfidentsiaalsus on tagatud, sest need määravad otseselt toote või
teenuse usaldusväärsuse.
52 https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=celex%3A52020SC0345.
131 / 151
Eestis on paljud ettevõtjaid, kelle teenuste toimimine oluliselt sõltub info- ja
kommunikatsioonitehnoloogiast ning kes on ka juba praegu planeerinud vahendeid
turvameetmete rakendamiseks. Risk, et ettevõtjad ei soovi uute regulatsioonide tingimustes Eestis
tegutseda, on väike, sest NIS2 direktiivi vastuvõtmise korral on kõikidel Euroopa Liidu
liikmesriikidel kohustus uus regulatsioon jõustada. Küll aga tuleb leida koostöös ettevõtjatega
võimalikud parimad lahendused, mis lihtsustaks nende poolsete kohustuste täitmist võimalikult
optimaalsel moel.
Uute subjektide lisandumine võib tekitada teatavat halduskoormust ettevõtjatele, kuid nende
täpsem sisu on kirjeldatud seletuskirja järgnevates osades, milles tuuakse konkreetne muudatus ja
selle mõju välja.
Ulatus keskmine, sagedus väike, ebasoovitatavate mõjude risk väike.
6.1.4. Mõju elu- ja looduskeskkonnale
KüTSi alla hõlmatakse ka mitmeid üksusi, kelle põhitegevus on mitmel moel seotud tegevustega,
mis võivad ka elu- ja looduskeskkonda kahjustada või häirida. Seetõttu on eelnõuga lisanduvate
subjektide nimekirja täiendamine positiivne, kuna võimaldab valmistuda ette ning ennetada
keskkonnaalaseid õnnetusi, mis võivad kaasneda näiteks energeetikasektoris tegutsevate
ettevõtete IT-süsteemidesse ebaseadusliku sisenemisega. Selle tulemusena võidakse rivist välja
lüüa olulised süsteemid, mis omakorda toovad kaasa energiatootmise vähenemise või täieliku
peatumise. KüTSi lisanduvate subjektide laienemine võimaldab vähendada selliste stsenaariumite
teket, mis võivad ühiskonna igapäevaelu pärssida. Selliste sündmuste tekkimise võimalus on küll
väga väike.
Ülaltoodust tulenevalt otsene mõju loodus- ja elukeskkonnale puudub, kuid siiski peab riskide
hindamisel sellega arvestama. Seetõttu pole mõjusid sihtrühmade kaupa eraldi välja toodud.
Ulatus väike, sagedus väike, ebasoovitatavate mõjude risk väike.
6.1.5. Mõju riigiasutuste ja kohaliku omavalitsuse korraldusele
Põhiline mõju on Riigi Infosüsteemi Ameti tegevusele, kes hakkab lisanduvate subjektide suhtes
täitma eelnõuga lisanduvaid ülesandeid, kuid selle muudatuse täpsem sisu on kirjeldatud
seletuskirja järgnevates osades, milles tuuakse konkreetne muudatus ja selle mõju välja. Eelnõu
aitab ka Riigi Infosüsteemi Ametil saada suurema ja selgema pildi küberturbe tasemest Eestis,
kuna eelnõuga lisanduvad uued subjektid. Uute subjektide lisandumine ei oma mõju
julgeolekuasutustele, kuna nende puhul ei lisandu uusi subjekte, kelle üle nad peavad järelevalvet
teostama.
Ulatus väike, sagedus keskmine, ebasoovitatavate mõjude risk väike.
6.2. Kavandatav muudatus: riskijuhtimismeetmete ehk turvameetmete rakendamise nõue
Muudatuse sisu on seotud NIS2 direktiivi artikliga 21, mis võetakse eelnõus üle KüTS §-ga 7,
ennekõike selle lõikesse 2. Tolles NIS2 direktiivi artiklis on kasutatud sõnastust
132 / 151
„küberturvalisuse riskijuhtimismeetmed“, kuid eelnõus ning kehtivas õiguses on selle puhul
mõeldud „turvameetmete rakendamise“ nõuet.
Eelnõul puuduvad muud otsesed või kaudsed mõjud, mis on olulised.
6.2.1. Sotsiaalne, sealhulgas demograafiline mõju
Kommenteeritav muudatus ei tekita ettevõtjale märkimisväärset sotsiaalset mõju. KüTSi
subjektide vajadus tööturul sobiva kvalifikatsiooniga küberturbe ekspertide järele
küberturvalisuse tagamiseks jääb püsima.
Eelnõul on positiivne mõju isikutele (füüsilistele ja juriidilistele), kelle andmed asuvad
olemasolevate kui ka uute subjektide võrgu- ja infosüsteemides. Muudatus võib mõjutada ka
inimeste karjäärivalikuid tegelemaks infotehnoloogia sektoriga, sh suurendab inimeste
teadlikkust küberturvalisuse valdkonna ning küberturvalisuse tagamise olulisuse kohta, kuna üks
osa ette nähtud nõuetest on küberturvalisuse koolitused.
IKT areng toob kaasa teenuste parema kättesaadavuse ja kasutusmugavuse. Tehnoloogia
suureneva osatähtsusega kaasneb ühiskonna, majanduse ja riigi sõltuvus juba harjumispärastest
e-lahendustest ning kinnistub ootus tehnoloogia tõrgeteta toimimisele. Selle tõttu on ka väga
oluline kindlustada, et kodanike jaoks oluliste teenuste katkematu toimimine oleks tagatud.
Muudatusel on positiivne mõju ka isikuandmete kaitse tagamisele, kuna suurendab uute
subjektide puhul teadmist ja vajadust kaitsta võrgu- ja infosüsteeme, milles on inimeste
isikuandmed.
Ulatus väike, sagedus väike, ebasoovitatavate mõjude risk väike.
6.2.2. Mõju riigi julgeolekule ja välissuhetele
Küberintsidentide ennetamiseks, tõrjumiseks ja lahendamiseks valmisolek on seotud ka
riigikaitse ja julgeolekuga. Eesti julgeolekupoliitika alustes on kirjas: „Eesti ühiskonna turvalisus
ja majandusedu sõltuvad digiühiskonna kestlikust arengust. Digipöördes ja tehnoloogilistes
valikutes peavad riik ja erasektor võtma arvesse julgeolekukeskkonda ning üleilmseid
tehnoloogilisi suundumusi. Digitaalses ruumis peame läbivalt kõigis infosüsteemides,
organisatsioonides ja protsessides planeerima küber- ja infoturvet.“53 Eelnõu mõjutab riigi
julgeolekut küberturvalisuse taseme tõusu kaudu, läbi mille tagatakse süsteemide järjepidev
võimalikult tõrgeteta toimimine
Muudatus omab positiivset mõju riigi julgeolekule ja välissuhetele, kuna annab selguse, mis
sektorite ja valdkondade osas on ette nähtud ühised küberturvalisuse riskijuhtimise nõuded, mis
on samaväärsed teistes Euroopa Liidu liikmesriikides olevate nõuetega.
53 Riigikogu 22.02.2023.a otsus "Eesti julgeolekupoliitika alused" heakskiitmine –
https://dhs.riigikantselei.ee/avalikteave.nsf/documents/NT003B6B36/, lk 12.
133 / 151
Eelnõuga luuakse piiriülesed mehhanismid küberintsidentide tõhusamaks lahendamiseks ning
suurendatakse riikidevahelist koostööd, mis omab teatavat mõju ka piiriüleselt tegutsevatele
ettevõtetele.
Paralleelset mõjutab muudatus ka Eesti kui e-ühiskonna ning küberturvalisuse positiivset
kuvandit ning suurendab meie koostööd nii riigi tasandil riigi ja ettevõtete vahel kui ka
rahvusvahelisel areenil. Välissuhete vaatepunktist aitab muudatus ka säilitada ning arendada Eesti
riigi kui küberturvalisuse eestvedaja kuvandit.
Võrgu- ja infosüsteemidega paremal kaitstusel võiks olla teatav mõju kodanike turvatundele,
kuna Eesti riik ja ühiskond on sõltuvuses e-lahenduste toimimisest, rahva usaldusest e-teenuste
vastu ning vajadusest tagada teenuste küberturvalisuse tase.
Ulatus väike, sagedus väike, ebasoovitatavate mõjude risk väike.
6.2.3. Mõju majandusele
Siinse muudatuse mõju sõltub mitmest asjaolust, sh ka sellest, kas tegemist on kehtiva KüTSi
kohaldamisalasse kuuluva subjektiga või on tegemist uue subjektiga. Mõlema variandi puhul
võib tähtsust omada ka konkreetse subjekti reaalset vastavust eelnõus olevatele nõuetele, kuid
siinses seletuskirjas saab analüüsida ainult seda mõju õigusnormidega ette nähtavate nõuete
muudatuste kontekstis.
Kehtiva KüTSi kohaldamisalasse kuuluva subjekti puhul ei ole eelnõuga tehtavad muudatused
märkimisväärsed, kuna ka eelnõu KüTS § 7 lõike 2 selgitustes on analüüsitud, et NIS2 direktiivi
artikli 21 lõikes 2 sätestatud küberturvalisuse riskijuhtimismeetmed on samaväärsed nende
nõuetega, mida näeb ette Eesti infoturbestandard või selle alternatiiviks olev rahvusvaheline
standard ISO/IEC27001.
Küberturvalisusega seotud kulutused võib jaotada peamiselt kaheks liigiks – kulutused, mida
tehakse küberturvalisuse tagamiseks organisatsioonis (pädeva personali palkamine, teenuste ja
süsteemide kaardistamine, riskianalüüs, meetmete rakendamine), ning kulutused, mida tehakse
küberintsidendi tagajärgede likvideerimiseks (lunavara nõuded, andmebaaside taastamine,
riistvara väljavahetamine, info- ja võrgusüsteemide uuesti arendamine, teenuse osutamata
jätmisega tekkinud kahju kandmine (sh esitatud kahjunõuded ja leppetrahvid jne)).
Alati on võimalik, et küberturvalisuse tagamisele olulisi kulutusi teinud organisatsioon ei suuda
vältida kahjulikke küberintsidente ega nendega kaasnevaid kulutusi, ning et küberturvalisuse
tagamisele kulutusi mitte teinud organisatsioon ei lange küberintsidendi ohvriks ega kanna ka
sellest tulenevaid kulutusi, kuid üldreeglina tähendab küberturvalisuse tagamiseks tehtavate
kulutuste suurendamine küberintsidendi juhtumise tõenäosuse vähenemist. Samas näitab Riigi
Infosüsteemi Ameti statistika, millega on võimalik tutvuda iga kuu ilmuva „Olukord
küberruumis“54 väljaande vahendusel, et küberintsidendi ohvriks langemise puhul on küsimus
54 https://www.ria.ee/kuberturvalisus/kuberruumi-analuus-ja-ennetus/olukord-kuberruumis.
134 / 151
pigem ajas, millal see juhtub, ning milline on toimunud küberintsidendi mõju ulatus. Seega ei saa
pidada mõistlikuks lähenemist, et küberturvalisuse tagamiseks jäetakse kulutused tegemata
põhjendusel, et loodetavasti KüTSi subjekt ei lange küberintsidendi ohvriks.
Kui tegemist on stsenaariumiga, kus uue KüTSi subjekti suhtes ei ole ette nähtud
küberturvalisuse riskijuhtimismeetmeid, kuid siinse eelnõuga need tekivad, siis nende üksuste
puhul võib eelnõuga teatav mõju esineda. Kui arvestada asjaoluga, et eelnõuga küberturvalisuse
riskijuhtimismeetmete nõuete sisu on samaväärne Eesti infoturbestandardi nõuetega, siis saab
välja tuua paralleeli Eesti infoturbestandardi rakendamisega seotud mõjudest ja tähelepanekutest.
Eelmainitud stsenaariumi puhul tuleb arvestada infoturbe rolli täitvate inimeste ajakuluga Eesti
infoturbestandardi ülevõtmiseks vajalike dokumentatsioonide koostamisel. Ajakulu on suurem
selles osas, milles dokumentatsioon, sh vajalikud kaardistused, kuuluks esmakordselt
koostamisele.
Eelnõu võib kaudselt mõjutada uue KüTSi subjekti osutatavate teenuste kvaliteeti, kuivõrd
teenuste kaardistamise ja riskipõhine lähenemine aitab üksusel tuvastada tehnoloogilisi
mahajäämusi või paremaid arendussuundi. Ühtlasi aitab näiteks Eesti infoturbestandardi
rakendamise eelduseks olev selge ülevaade üksuse äriprotsessidest ja nendega seotud teenustest
hinnata üksuse toimimiseks vajalike ressursside kasutamist.
Isikutel, kes ei ole eelnevalt turvameetmete rakendamiseks kulutusi teinud, tekib ilmselt
lisaressursi vajadus (näiteks personalikulu, IT-süsteemide arendamise kulu, riskianalüüsi
koostamise kulu). Majanduslik mõju selles stsenaariumis on igale subjektile väga erinev ning ei
oleks analüüsis mõistlikult hinnatav. Turvameetmete rakendamiseks vajalik rahaline kulu sõltub
subjekti kasutatavate süsteemide hulgast, keerukusest ning nendele ka eelnevalt rakendatud
turvameetmete olemasolust (tulenevalt subjekti vastutustundlikkusest oma IT-lahenduste
kasutamisel või muudest seaduslikest nõuetest, näiteks isikuandmete töötlemiseks rakendatud
tehnilisi ja korralduslikke meetmeid turvalisuse tagamiseks). Rakendamiseks vajaliku kulu
majanduslik mõju subjektile sõltub omakorda selle kulu osakaalust subjekti eelarves, ennekõike
IT-lahendustega seotud eelarves.
Selle stsenaariumi korral võib mõnele subjektile tekkida eelnõust tulenevalt oluline majanduslik
mõju, kui subjekt kasutab oma tegevuses ulatuslikult keerukaid süsteeme, millele turvameetmeid
varasemalt rakendatud ei ole ning mille eelarve ei ole lihtsasti võimeline nende IT-lahenduste
toimepidevuse tagamiseks vajalikke ressursse teenindama. Küll aga ei mõjuta see olukord
majandusliku mõju hinnangut uute KüTSi subjektide mõttes tervikuna, kuivõrd tegemist oleks
ühe osaga väga piiratud subjektide ringist.
KüTSi subjektist juhtkond ise otsustab, milliseid objekte ja protsesse on tarvis kaitsta.
Etalonturve seab kaitstavad objektid ja protsessid vastavusse etalonturbe kataloogi
tüüpmoodulitega. Etalonturbe kataloogis leiduvad tüüpmoodulid kirjeldavad tüüpilisi ohte ja
neile vastavaid, riskianalüüsi põhjal valitud turvameetmeid. Seetõttu on selle sisu üsnagi
mahukas, kuid selle rakendamine ei ole võimatu ülesanne. Turvameetmete rakendamine
135 / 151
vähendab infoturbeohtude realiseerumise tõenäosust. Etalonturve võimaldab KüTSi subjektil
taaskasutada infoturbe parimaid praktikaid ning seeläbi kokku hoida infoturbe rakendamisele
kuluvaid vahendeid.
Üks osa Eesti infoturbestandardi rakendamisest on ka Eesti infoturbestandardi vastavusauditi55
tegemine iga kolme aasta järel, mis on eelduslikult ühe suurema kulu allikas uutele KüTSi
subjektidele. 426 SE seletuskirjas on lk-l 56 mõjude osas võrgu- ja infosüsteemide riskianalüüsi
ning Eesti infoturbestandardi auditi osas märgitud järgmist: „KüTSi järgi on kohustus koostada
võrgu- ja infosüsteemide riskianalüüs, mille võib turult saada olenevalt ettevõttest 2000–20 000
euro eest. Selliseid analüüse saab ettevõte teha ka ise, st kohustust tellida neid ei ole, see on
üksnes ettevõtte võimalus. Kõik vähemalt kümne töötajaga ja aasta bilansimahuga või
aastakäibega üle 2 miljoni euro elutähtsa teenuse osutajad on KüTSi kohaselt kohustatud tellima
sisse võrgu- ja infosüsteemide auditi. Tegemist on ainukese kohustusega, mida ettevõtja ei saa ise
täita ja mida tuleb tellida sisse. Auditi maksumus jääb 4500–20 000 euro vahemikku. Maksumus
oleneb ettevõtte suurusest ja infosüsteemidest.“ Siinse eelnõu koostamise hetke seisuga ei olnud
võimalik kontrollida, kas mainitud maksumuste suurusjärk on jätkuvalt sama või on siin mingeid
muudatusi toimunud.
On võimalik, et auditeerimiskulud on majanduslikult koormavamad subjektidele, kelle IKT
korraldus on oluliselt väiksema mahuga, kuivõrd ühine lävend ja seega ka minimaalne kulu auditi
teenuse läbiviimises tuleneb protseduurist auditi läbiviimisel, kvalifikatsiooninõuetest auditi
läbiviijale ning auditi käigus koostatava dokumentatsiooni nõuetest. Seega on majandusliku mõju
tasakaalustamiseks KüTS § 7 lõike 5 alusel kehtestatud Vabariigi Valitsuse määruses ka erand
mikroettevõtjatele kui ka teatavatele kohaliku omavalitsuse hallatavatele asutustele. Erand on
kavandatud konkreetselt auditite läbiviimise kohustuse suhtes, mitte Eesti infoturbestandardi
järgimise kohustuse suhtes. Eelnõu üheks lisaks on ka nimetatud Vabariigi Valitsuse määruse
muutmise kavand, mille puhul on võimalik tolle määruse avalikul kooskõlastusringil anda
tagasisidet, kas ja kuidas tuleks Eesti infoturbestandardi auditi tegemise kohustust või selle
vabastust sõnastada.
Täiendavalt toetab Riigi Infosüsteemi Amet Eesti infoturbestandardile üleminekut koolituste
läbiviimisega.56 Lisaks sellele on Ametil ka kavas teha tehnoloogiline rakendus, mis abistab Eesti
infoturbestandardi rakendamist. Sel teemal vt allpool seletuskirja järgmist peatükki.
Siin tuleb ka arvestada asjaoluga, et mõjude ulatus on eelduslikult väiksem, kuivõrd kohustusi
uutele KüTSi subjektidele tehniliste ja korralduslike turvameetmete rakendamiseks tuleneb ka
mujalt – mis ei pruugi olla küll sõnastatud küberturvalisuse prisma läbi, vaid muul moel.
Ennekõike peab sõltumata KüTSis sätestatud kohustustest uus KüTSi subjekt rakendama
isikuandmete turvalisuse tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid
55 Eesti infoturbestandardi ja ISO 27001 alaste teenustega tegelevate ettevõtete loetelu – https://eisay.ee/e-its-ja-iso-
27001-alaste-teenustega-tegelevate-ettevotete-loetelu. 56 https://eits.ria.ee/et/avalehe-menueue/suendmused.
136 / 151
isikuandmete kaitse üldmääruse artikli 32 lõike 1 alusel ning samuti lähtuma selle kohustuse
täitmisel riskide analüüsist sama määruse artikli 32 lõike 2 alusel.
Täiendavalt on majandusliku mõju hindamiseks oluline märkida, et isegi kui eelnõust tulenevalt
peab subjekt võtma rahalisi kohustusi võrgu- ja infosüsteemide turvalisuse tagamiseks, siis võib
nende kulude mõju olla subjektile majanduslikult positiivne. Süsteemide turvalisuse tagamiseks
tehtavad kulutused vähendavad nii küberintsidendi tekkimise tõenäosust kui ka tekkinud
küberintsidendi kahjulikku majanduslikku mõju. Arvestades küberruumis aina sagedamini
esinevaid rünnakuid57 ning nende laastavat mõju ohvri süsteemide kasutatavusele, ei oleks
õigustatud ka süsteemide turvalisuse tagamiseks tehtavaid kulutusi vaadelda rangelt kahjuliku
majandusliku mõjuna.
Teatavate üksuste puhul on siinse muudatusega seotud täpsustused ette nähtud NIS2 direktiivi
artikli 21 lõike 5 alusel kehtestatud delegeeritud määruses – viidatud lõige näeb ette, et Euroopa
Komisjon peab vastu võtma rakendusaktid, milles „sätestatakse sama artikli lõikes 2 osutatud
meetmete tehnilised ja metoodilised nõuded seoses domeeninimede süsteemi teenuse osutajate,
tippdomeeninimede registrite, pilvandmetöötlusteenuse osutajate, andmekeskusteenuse osutajate,
sisulevivõrgu pakkujate, hallatud teenuse osutajate, [hallatud turbeteenuste osutajate],
internetipõhiste kauplemiskohtade, internetipõhiste otsingumootorite ning sotsiaalvõrguteenuse
platvormide ja usaldusteenuse pakkujatega.“ Seetõttu on Komisjoni rakendusmääruses (EL)
2024/269058 täpsustatud eelmainitud üksuste ja usaldusteenuse osutajate suhtes kehtivad
küberturvalisuse riskijuhtimismeetmete täpsustavad nõudeid ehk nende üksuste puhul ei ilmne
mõju siinsest eelnõust, vaid tollest rakendusmäärusest. Seetõttu ei ole võimalik tolle
rakendusmäärusega seotud mõjusid siinse eelnõuga analüüsida.
Eelnõu kehtestamise eesmärk on selgema raamistiku kaudu edendada võrgu- infosüsteemide
turvalisust. Sellel on vahetu mõju majanduskeskkonna toimimisele, kuivõrd Eesti
konkurentsieelis digilahenduste kasutuselevõtus ja arendamises on tugevalt seotud nende
digitaalsete lahenduste ja sealse andmetöötluse toimepidevuse, tervikluse ning konfidentsiaalsuse
tagamisega. Samuti mõjutab eelnõu kodanikke digitaalseid teenuseid rohkem usaldama, tagades
seega ka nende toimimise jätkusuutlikkuse suureneva kasutamise kaudu. Kodanike
halduskoormust eelnõu ei mõjuta.
Muudatusel on eelduslikult ka mõju majanduskeskkonnale ja seeläbi ka ettevõtlusele, kuna ta
tekitab teatava nõudluse küberturvalisuse tagamise valdkonnas pakutavate teenuste suhtes. See
omakorda võib suurendada ka ettevõtete arvu või olemasolevate ettevõtete osutatavate teenuste
arvu – näiteks võib tekitada uusi konsultatsioonide, auditeerimise või koolitamise teenuse
pakkujaid või teenuseid. Kommenteeritava muudatuse mõju ettevõtluse toimimisele eelmainitud
vaatenurga tõttu on keeruline hinnata, kuna ei ole teada, kui palju uusi ettevõtteid võidakse nende
57 Riigi Infosüsteemi Ameti ööpäeva ülevaade Eesti küberruumi kohta –
https://www.ria.ee/et/kuberturvalisus/olukord-kuberruumis/oopaeva-ulevaated.html. 58 https://eur-lex.europa.eu/legal-content/ET/ALL/?uri=CELEX:32024R2690&qid=1732094006135.
137 / 151
teenuste pakkumiseks luua või kui palju olemasolevad ettevõtted võivad täiendada enda
pakutavate teenuste nimekirja.
Eelnõu eesmärk on tekitada kommenteeritava muudatusega nõuded ennekõike keskmise
suurusega ning suurematele organisatsioonidele, kuid siin ei ole võimalik välistada, et eelnõuga
tekivad vastavad kohustused ka mikro- või väikestele ettevõtjatele. Seetõttu on ka eelnõuga ette
nähtud, et nõuete täitmiseks on üleminekuaeg – vt siin seletuskirja lisaks oleva KüTS § 7 lõike 5
alusel kehtestatud Vabariigi Valitsuse määruse muutmise määruse kavandit.
Suurenev kasu avaliku sektori kui ka erasektori e-teenustest on võimalik vaid juhul, kui
digitaalsete lahenduste toimepidevus, terviklus ja konfidentsiaalsus on tagatud, sest need
määravad otseselt e-teenuste usaldusväärsuse. E-teenuste toimimine on lineaarselt sõltuv nende
turvakindlusest (nii tegelikust kui tajutavast), mis vahetult mõjutab inimeste usaldust teenuste
vastu. Kodanike halduskoormust eelnõu ei mõjuta, kuid teatav kaudne mõju on suurenenud
turvalisus e-teenustes ning nende pideva toimimise parem tagamine aitab kokku hoida riigiga või
erasektori ettevõttega suhtlemiseks kuluvat aega.
Ulatus keskmine, sagedus keskmine, ebasoovitavate mõjude risk väike.
6.2.4. Mõju elu- ja looduskeskkonnale
Eelnõu ei avalda otsest mõju elu- ja looduskeskkonnale. Kaudselt võib eelnõu positiivset mõju
elu- ja looduskeskkonnale aga avaldada läbi vastupanuvõimekuse suurendamise küberrünnakute
suhtes, mis saaksid põhjustada elukeskkonnale või looduskeskkonnale kahjulikke tagajärgi (nt
veepuhastusprotsessi sekkumine ja kasutatavate kemikaalide koguste muutmine).
Ulatus väike, sagedus väike, ebasoovitavate mõjude risk väike.
6.2.5. Mõju regionaalarengule
Muudatuste mõju regionaalarengule on väike ja pigem kaudne, seetõttu ei ole mõju sihtrühmade
lõikes eraldi analüüsitud. Erasektori poolt pakutavate teenuste kättesaadavus, mis tagatakse
täiendavate turvameetmete kaudu, aitab kaasa ühiskonna toimimisele igas Eesti piirkonnas.
Piirkondlik koostöö IT-turvalisust tagavate ettevõtetega võib suureneda, samuti võivad
teoreetiliselt mõned töökohad juurde tekkida nii suurlinnadesse kui ka väiksematesse
piirkondadesse, kuid mõju ei ole kindlasti märkimisväärne.
Ulatus väike, sagedus väike, ebasoovitavate mõjude risk väike.
6.2.6. Mõju riigiasutuste ja kohaliku omavalitsuse korraldusele
Siinse muudatuse mõju sõltub mitmest asjaolust, sh ka sellest, kas tegemist on kehtiva KüTSi
kohaldamisalasse kuuluva subjektiga või on tegemist uue subjektiga. Avalik sektor on juba
praegu kehtiva KüTSi kohaldamisalas, mistõttu eelnõuga tehtavad muudatused ei oma niivõrd
suurt mõju neile. Siin võib tähtsust omada ka konkreetse subjekti reaalne vastavus eelnõus
olevatele nõuetele, kuid siinses seletuskirjas saab analüüsida ainult seda mõju õigusnormidega
ette nähtavate nõuete muudatuste kontekstis.
138 / 151
Kehtiva KüTSi kohaldamisalasse kuuluva subjekti puhul ei ole eelnõuga tehtavad muudatused
märkimisväärsed, kuna ka eelnõu KüTS § 7 lõike 2 selgitustes on analüüsitud, et NIS2 direktiivi
artikli 21 lõikes 2 sätestatud küberturvalisuse riskijuhtimismeetmed on samaväärsed nende
nõuetega, mida näeb ette Eesti infoturbestandard või rahvusvaheline standard ISO/IEC27001.
Seetõttu ei too kommenteeritav muudatus kaasa üldreeglina suurt mõju riigiasutuste ja kohaliku
omavalitsuse korraldusele. Kommenteeritav muudatus ei too kaasa muudatusi, mille rakendamine
vajaks asutuse töökorralduse või selles osas töökoormuse olulist suurendamist.
Kehtestatavate küberturvalisuse riskijuhtimismeetmete nõuded omavad mõju
järelevalveasutustest Riigi Infosüsteemi Ametile, kuna lisanduvad uued KüTSi subjektid, keda
saab nõustada ning kelle suhtes teostatakse järelevalvet. See omakorda tekitab vajaduse täiendava
personali järele, millega omakorda kaasnevad täiendavad kulud. Eelnõu aitab ka Riigi
Infosüsteemi Ametil saada suurema ja selgema pildi küberturbe tasemest Eestis, kuna eelnõuga
lisanduvad uued subjektid. Julgeolekuasutusest järelevalveasutusele oluline mõju puudub, kuna
eelnõu tehtav muudatuse põhisisu on nende puhul olemas kehtivas õiguses ning siin sisulisi
täiendusi või muudatusi ei ilmne.
Ulatus keskmine, sagedus keskmine, ebasoovitavate mõjude risk väike.
6.3. Kavandatav muudatus: küberintsidentidest teavitamise nõue
Muudatuse sisu on seotud NIS2 direktiivi artikliga 23, mis võetakse eelnõus üle KüTS §-desse 8
ja 12 – need sätted reguleerivad vastavalt kohustuslikku teavitamist ning Riigi Infosüsteemi
Ameti tegevused ja volitused teavituste menetlemisel. Samas on kaudselt siinse muudatusega
seotud ka NIS2 direktiivi artikkel 30, mis on seotud küberintsidentidest vabatahtliku
teavitamisega – too artikkel võetakse üle eelnõus KüTS §-ga 81.
Eelmainitud muudatusega täpsustatakse kehtivaid nõudeid, kuid täpsustatakse, et mis etapil
millist infot ning mis aja jooksul tuleb esitada. Üldreegel on jätkuvalt sama ning seda ei muudeta
– olulise mõjuga küberintsidendist või muust samaväärsest küberintsidendist tuleb teavitada
hiljemalt 24 tundi pärast küberintsidendist teada saamist. Eelnõuga täpsustataksegi, et mis teavet
tuleb esitada küberintsidendi kohta ning mis tähtajaks tuleb esitada küberintsidendi lahendamise
lõppraport (kehtivas õiguses ei ole see kindlaks määratud, kuid NIS2 direktiiv sätestab siin
konkreetsema tähtaja).
Eelnõuga tehtava muudatuse mõju saab olla ennekõike nendele üksustele, kes lisanduvad KüTSi,
kui neile kehtiv õigus (sh muu valdkondlik õigusakt) ei tekita sarnast teavituskohustust. Kehtiva
KüTSi subjektidele kohalduvad juba praegu sarnased nõuded nagu eelnõu ette näeb – seetõttu
nende puhul eelnõuga tekkiv mõju pole niivõrd oluline.
139 / 151
Lisaks kommenteeritavale muudatustele tuleb arvestada ka asjaoluga, et sarnane nõue on ka
isikuandmete kaitse valdkonnas, mistõttu ei ole tegemist oma olemuselt uue nõudega KüTSi
uutele subjektidele.59
Eelnõul puudub oluline mõju regionaalarengule ning muud otsesed või kaudsed mõjud.
6.3.1. Sotsiaalne, sealhulgas demograafiline mõju
Küberintsidendist teavitamise nõude täpsustamine ei tekita ettevõtjale sotsiaalset mõju.
Kuna eelnõu tulemusena suureneb KüTSi subjektide arv, siis seeläbi suureneb ka nende
organisatsioonide arv, kes peavad olulise mõjuga küberintsidendist teavitama Riigi Infosüsteemi
Ametit. See võimaldab aegsasti ja kiiresti tegeleda teavitatud küberintsidendi lahendamisega.
Seeläbi võib tekkida KüTSi subjektil ka vajadus teavitada ka isikut, keda olulise mõjuga
küberintsident või oluline küberoht võib mõjutada; või avalikkust, kui mõjutatud isikuid ei ole
võimalik eraldi teavitada. Teavituses annab KüTSi subjekt võimalusel teada olulisest küberohust
ja meetmetest või parandusmeetmetest, mida mõjutatud isik saab olulisele küberohule
reageerimiseks võtta (vt eelnõu KüTS § 8 lõiget 5). Seeläbi suureneb ka inimeste teadlikkus
küberohtudest ning nende võimalikest maandamise või parandamise meetmetest – seda ka
seetõttu, et sageli on küberintsidendid seotud isikuandmetega (nt toimub isikuandmete teatavaks
saamine selleks õigustamata isikule). Seetõttu on eelnõul kaudne positiivne sotsiaalne mõju.
Ulatus keskmine, sagedus väike, ebasoovitavate mõjude risk väike.
6.3.2. Mõju riigi julgeolekule ja välissuhetele
Muudatusel on positiivne mõju riigi julgeolekule ja välissuhetele, kuna küberintsidentidest
teavitamine võimaldab tekkinud või tekkivate probleemidega kiiremini tegeleda nii riigisiseselt
kui ka koostöös teiste riikidega. Eelnõuga tõhustatakse olemasolevaid piiriüleseid mehhanisme,
et piiriüleseid küberintsidente lahendada ning suurendatakse riikidevahelist koostööd, mis omab
teatavat mõju ka piiriüleselt tegutsevatele ettevõtetele.
Küberintsidentide teavitused võimaldavad kindlaks teha ka küberohtudega seotud laiemat seisu,
kuna küberohust võib välja kasvada olulise mõjuga küberintsident. Seetõttu on vajalik teavitada
küberintsidentidest, eriti veel olulise mõjuga küberintsidentidest.
Muudatuse kaudseks mõjuks on ka Eesti kui e-ühiskonna positiivse kuvandi edendamine ning
suurendab meie koostööd nii riigi tasandil riigi ja ettevõtete vahel kui ka rahvusvahelisel areenil.
Ulatus väike, sagedus keskmine, ebasoovitavate mõjude risk väike.
6.3.3. Mõju majandusele
59 Vt Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679, mis käsitleb füüsiliste isikute kaitse kohta
isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta,
artiklit 33 ja isikuandmete kaitse seaduse § 44.
140 / 151
Muudatusel on positiivne mõju, kuna suureneb uute KüTSi subjektide teadlikkus vajadusest
tegeleda küberintsidentide lahendamisega. Seeläbi on vajalik aru saada, mis on üldse
küberintsident ning mida tuleb teha, kui selline sündmus aset leiab ehk see aitab ka läbi mõelda
ning õppuste tegemise korral ka läbi harjutada kriisis tegutsemist, konkreetsemalt küberintsidendi
lahendamise vaatenurgast.
Muudatuse tulemusena suureneb Riigi Infosüsteemi Ameti ja KüTSi uue subjekti vahelise
suhtluse regulaarsus, kui see subjekt pole ise küberintsidentidest vabatahtlikult Ametit teavitanud.
Selle koormuse määra on keeruline analüüsida, kuna see sõltub omakorda sellest, mis on KüTSi
uute subjektide küberturvalisuse riskijuhtimismeetmete rakendamise tase.
Kuna eelnõuga muutub KüTSi subjektide ring suuremaks, siis see võimaldab saada ka laiema
pildi ette nendest ohtudest ja probleemidest, mis KüTSi subjektide küberturvalisuse tagamisel
esinevad, kuna samad probleemid või küberintsidendid võivad esineda ka muudes valdkondades
kui (olulise mõjuga) küberintsidendi teavitaja.
Kui olulise mõjuga küberintsidendist teavitatakse Riigi Infosüsteemi Ametit, siis on Ametil
võimalik aegsasti reageerida teavitusele ning anda võimalusel ka vastuse, mis sisaldab esialgset
tagasisidet olulise mõjuga küberintsidendile ja teavituse esitanud üksuse taotluse korral ka
suuniseid olulise mõjuga küberintsidendi lahendamise meetmete kohta. See võimaldab kiiremini
lahendada probleemset küberintsidenti. Lisaks sellele on ka Ametil võimalik edastada ka
küberintsidendi ennetamiseks ja lahendamiseks ohuteateid, mis võimaldavad rakendada
küberintsidendi mõju vältivaid või vähendavaid abinõusid (vt kehtiva KüTS § 12 lõiget 3).
Eeltoodu aitab saada Ametil ka paremat ülevaadet küberturvalisuse tagamise seisust Eestis.
Koosmõjus eespool mainitud muudatusega (küberturvalisuse riskijuhtimismeetmete
rakendamine) on siinsel muudatusel eelduslikult ka positiivne mõju KüTSi uuele subjektile.
Küberintsidendid on ebaregulaarsed sündmused, mille põhjustajaks on enamasti pahatahtlikud
kolmandad isikud, seega ei ole ka otseselt ennustatav, kui palju konkreetne teenuse osutaja
küberturvalisuse meetmete rakendamisest majanduslikult võidab või kaotab. Arvestades
küberruumis aina sagedamini esinevaid rünnakuid60 ning nende laastavat mõju ohvri süsteemide
kasutatavusele, ei oleks õigustatud ka süsteemide turvalisuse tagamiseks tehtavaid kulutusi
vaadelda rangelt kahjuliku majandusliku mõjuna. Samas on positiivne see, kui KüTSi uued
subjektid on aegsasti läbi mõelnud tegevused küberintsidendi lahendamiseks ning kui tegeletakse
ka tegevustega, mis võimaldavad vähendada küberintsidendi esinemise tõenäosust.
Muudatusel on eelduslikult ka mõju majanduskeskkonnale ja seeläbi ka ettevõtlusele, kuna ta
tekitab teatava nõudluse küberturvalisuse tagamise valdkonnas pakutavate teenuste suhtes –
konkreetsemalt küberintsidendi halduse ja lahendamise kontekstis. See omakorda võib
suurendada ka ettevõtete arvu või olemasolevate ettevõtete osutatavate teenuste arvu – näiteks
võib tekitada uusi konsultatsioonide, küberintsidendi lahendamisega seotud või küberintsidentide
60 Riigi Infosüsteemi Ameti ööpäeva ülevaade Eesti küberruumi kohta –
https://www.ria.ee/et/kuberturvalisus/olukord-kuberruumis/oopaeva-ulevaated.html.
141 / 151
ennetusele suunatud koolitamise teenuse pakkujaid või eelmainitutega seotud teenuseid.
Kommenteeritava muudatuse mõju ettevõtluse toimimisele eelmainitud vaatenurga tõttu on
keeruline hinnata, kuna ei ole teada, kui palju uusi ettevõtteid võidakse nende teenuste
pakkumiseks luua või kui palju olemasolevad ettevõtted võivad täiendada enda pakutavate
teenuste nimekirja.
Ulatus keskmine, sagedus väike, ebasoovitavate mõjude risk väike.
6.3.4. Mõju elu- ja looduskeskkonnale
Eelnõu ei avalda otsest mõju elu- ja looduskeskkonnale. Kaudselt võib eelnõu positiivset mõju
elu- ja looduskeskkonnale aga avaldada läbi vastupanuvõimekuse suurendamise küberrünnakute
suhtes, mis saaksid põhjustada elukeskkonnale või looduskeskkonnale kahjulikke tagajärgi (nt
veepuhastusprotsessi sekkumine ja kasutatavate kemikaalide koguste muutmine; või kemikaalide
tootmisega seotud protsessidesse sekkumise korral). Nende võimalike kahjulike tagajärgede
tekkimise võimalust vähendab küberrünnakust ning selle põhjustatud küberintsidendist teada
saamine, mistõttu on küberintsidendist teavitamise nõude täpsustamisel positiivne mõju.
Eelmainitud sündmused oleksid siis eelduslikult käsitletava kui olulise mõjuga küberintsidendid,
millest teavitamise korral Riigi Infosüsteemi Ametile on Ametil võimalik aegsasti reageerida
teavitusele ning anda võimalusel ka vastuse, mis sisaldab esialgset tagasisidet olulise mõjuga
küberintsidendile ja teavituse esitanud üksuse taotluse korral ka suuniseid olulise mõjuga
küberintsidendi lahendamise meetmete kohta.
Ulatus väike, sagedus väike, ebasoovitavate mõjude risk väike.
6.3.5. Mõju riigiasutuste ja kohaliku omavalitsuse korraldusele
Muudatusel pole otsest mõju KüTSi praegustest subjektidest riigiasutustele ja kohaliku
omavalitsuse korraldusele, kuna eelnõu ei muuda nende puhul kehtivat õigust niivõrd oluliselt.
Teatav mõju on ennekõike Riigi Infosüsteemi Ametile kui järelevalveasutusele – seda ennekõike
seetõttu, et eelnõuga suureneb KüTSi subjektide arv ning seeläbi ka tegevused, mis on seotud
nende edastatud küberintsidentide lahendamisega. Seda enam, et NIS2 direktiiv näeb ette ja
eelnõuga sätestatakse KüTSis, et Amet annab olulise mõjuga küberintsidendi teavituse saamisel
võimaluse korral 24 tunni jooksul teavitanud teenuse osutajale vastuse, mis sisaldab esialgset
tagasisidet olulise mõjuga küberintsidendile ja teavitanud üksuse taotluse korral ka suuniseid
olulise mõjuga küberintsidendi lahendamise meetmete kohta.
Juba praegu on Riigi Infosüsteemi Ametil olemas enda kodulehel ja eraldi portaalis info, mil
moel on võimalik küberintsidendist teavitada.61 Seetõttu ei ole muudatusel eelduslikult otseseid
mõjusid IT-arenduse kontekstis. Eelnõu koostajad märgivad täiendavalt, et riik analüüsib, kas
erinevatest õigusaktidest, kuid sarnase tegumoega teavitusi (näiteks küberintsidendist teavitamine
ja isikuandmete kaitse rikkumisest teavitamine) saaks teha ühe kanali ehk ühe akna meetodil.
61 Vastavalt https://ria.ee/kuberturvalisus/kuberintsidentide-kasitlemine-cert-ee/kuberintsidendist-teavitamine ja
https://raport.cert.ee/.
142 / 151
Sellega seotud võimalikud kulutused ja IT-arendused selguvad vastava analüüsi käigus. Siin on
ka asjakohane NIS2 direktiivi põhjenduspunkt 106:
„(106) [NIS2 direktiivi] alusel nõutava teabe esitamise lihtsustamiseks ja üksuste
halduskoormuse vähendamiseks peaksid liikmesriigid asjakohase teabe esitamiseks ette nägema
tehnilised vahendid, nagu ühtne kontaktpunkt, automatiseeritud süsteemid, veebipõhised vormid,
kasutajasõbralikud liidesed, teatevormid, spetsiaalsed platvormid, mida üksused saavad
kasutada, olenemata sellest, kas nad kuuluvad [NIS2 direktiivi] kohaldamisalasse. [NIS2
direktiivi] rakendamist toetavad liidu rahalised vahendid, eelkõige Euroopa Parlamendi ja
nõukogu määrusega (EL) 2021/694 loodud programmi „Digitaalne Euroopa“ raames, võiksid
hõlmata toetust ühtsetele kontaktpunktidele. Üksused on sageli ka olukorras, kus konkreetsest
intsidendist tuleb eri õigusaktides sätestatud teatamiskohustuse tõttu teavitada eri asutusi.
Sellised olukorrad tekitavad lisakoormust ning võivad põhjustada kõnealuste teadete vormi ja
menetluskorraga seoses ebakindlust. Kui luuakse ühtne kontaktpunkt, julgustatakse liikmesriike
kasutama seda ühtset kontaktpunkti ka selleks, et teatada turvaintsidentidest, millest teatamist
nõutakse muude liidu õigusaktide, näiteks määruse (EL) 2016/679 ja direktiivi 2002/58/EÜ
kohaselt. Sellise ühtse kontaktpunkti kasutamine turvaintsidentidest teatamiseks määruse (EL)
2016/679 ja direktiivi 2002/58/EÜ alusel ei tohiks mõjutada määruse (EL) 2016/679 ja direktiivi
2002/58/EÜ sätete, eelkõige nendes osutatud asutuste sõltumatust käsitlevate sätete kohaldamist.
ENISA peaks koostöös koostöörühmaga töötama suunistes välja ühised teatevormid, et
lihtsustada ja ühtlustada liidu õiguse alusel teabe esitamist ning vähendada teavitavate üksuste
halduskoormust.“
Ulatus väike, sagedus keskmine, ebasoovitavate mõjude risk väike.
6.4. Kavandatav muudatus: teenuse osutaja juhtorgani kohustused
Muudatuse sisu on NIS2 direktiivi artiklis 20, mis võetakse üle eelnõu KüTS §-ga 61. Nende
kohustuste põhiolemus on seotud organisatsiooni juhtorgani tasandil suurema ja selgema rolli
võtmist küberturvalisuse tagamisega tegelemisel.
Siinne muudatus (osas, mis on seotud turvameetmete heaks kiitmise, nende rakendamise
jälgimine ja vastutamine) mõjutab ennekõike KüTSi uusi subjekte, kuna eelnõu KüTS §-s 61
lõikes 1 sätestatud nõuded on samaväärsed, mis on ette nähtud Eesti infoturbestandardi osaks
oleva infoturbe halduse süsteemi62 protsessiga – selle sammud on tolle dokumendi peatükis 4.1.
oleva joonis nr 1 kohaselt (siinses seletuskirjas joonis nr 2):
62 Infoturbe halduse süsteem (ingl Information Security Management System, ISMS) on organisatsiooni juhtimise
osa, mis tegeleb infoturbe rajamise, evitamise, käigushoiu ja pideva täiustamisega. Allikas:
https://eits.ria.ee/et/versioon/2023/eits-poohidokumendid/eits-noouded-infoturbe-halduse-suesteemile, peatükk 4.1.
143 / 151
Joonis 2. Infoturbe halduse süsteemi käivitamise ja uuendamise tegevused.
Kehtiva KüTSi subjektide puhul on juhtorgani liikmetel sama nõue juba olemas seetõttu, et neile
kohaldub kas Eesti infoturbestandard või selle alternatiiviks olev rahvusvaheline standard
ISO/IEC 27001. Valitsusasutuste (kes on ka kehtiva õiguse kohaselt KüTSi subjektid) puhul on
samalaadne nõue ka Vabariigi Valitsuse 15.03.2012 määruse nr 26 „Infoturbe juhtimise süsteem“
§-st 3.
Lisaks infoturbe halduse süsteemi kui protsessi tagamisele on kommenteeritava muudatuse mõju
seotud ka juhtorgani liikme enda koolitamistega ehk ta peab saama ja käima regulaarselt
vastavatel koolitustel. Samuti peab juhtorgan tagama, et tema töötajad ja ametnikud saavad ka
sarnaseid koolitusi. Koolituste sisu ehk siis ootused, mida vastav koolitus peaks sisaldama, on
kirjeldatud eelnõu KüTS §-s 61, mida siin üle ei korrata.
Kommenteeritav muudatus omab teatavat mõju sotsiaalsest vaatenurgast, sh töösuhete kontekstis,
kuid samuti ka omab mõju kõigile KüTSi subjektidele. Kaudselt on seeläbi ka mõju riigi
julgeolekule. Eeltoodud mõjud on positiivse loomuga.
KüTSi uute subjektide puhul on juhtorgani liikme poolse infoturbe halduse süsteemi kui protsessi
tagamisega seotud ülesanded positiivse mõjuga, kuna annab juhtorgani liikmele parema selguse,
milliseid varasid (näiteks infosüsteeme, andmeid, intellektuaalomandit ja muid ärisaladusi jne)
kaitstakse. Seeläbi saab KüTSi subjekt ka soovi korral planeerida ja arendada uusi teenuseid, mis
olemasolevate äriprotsesside ja teenuste kaardistamise tulemusena ilmnevad. Samuti ei ole
välistatud, et selle tulemusena leitakse ka optimeerimise võimalusi, mis võib subjekti kulusid
vähendada. Kuna lisanduvad KüTSi subjektid on erineva profiili ja tegevusalaga, siis ei ole
siinses analüüsis võimalik ega mõistlik analüüsida eri valdkondade võimalikke kokkuhoiuga
seotud mõjusid, kuna uued subjektid on oma tegevusalade mõttes erinevad.
144 / 151
Koolituste osas tagatakse muudatusega, et ühiskonnas tõuseb teadlikkus küberturvalisuse
valdkonnast ning selle tagamise vajadustest. Seeläbi suureneb ka inimeste teadlikkus
küberohtudest ning nende võimalikest maandamise või parandamise meetmetest kui ka nende
nendega tegelemise vajadustest. Seeläbi suureneb kaudselt ka inimeste teadlikkus isikuandmete
kaitse valdkonna osas, kuna teatavad küberohud on seotud isikuandmete ning nende kaitsmisega.
Kuna kommenteeritav muudatus on seotud juhtorganile esitatavate kohustustega, siis üks neist
kohustustest on ka tema teenistujate suhtes (tagada neile kübervaldkonnaga seotud koolituste
tegemist), mis tähendab ka organisatsiooni enda edasi arendamist, kuna suureneb teadlikkus
kübervaldkonnast.
Muudatusel on eelduslikult ka mõju majanduskeskkonnale ja seeläbi ka ettevõtlusele, kuna ta
tekitab teatava nõudluse küberturvalisuse tagamise valdkonnas pakutavate konsultatsioonide ning
koolituste kui teenuste suhtes. See omakorda võib suurendada ka ettevõtete arvu või
olemasolevate ettevõtete osutatavate teenuste arvu nende teenuste kontekstis. Kommenteeritava
muudatuse mõju ettevõtluse toimimisele eelmainitud vaatenurga tõttu on keeruline hinnata, kuna
ei ole teada, kui palju uusi ettevõtteid võidakse koolitusteenuste pakkumiseks luua või kui palju
olemasolevad ettevõtted võivad täiendada enda pakutavate koolitusteenuseid. Samalaadne
positiivne mõju võib ilmneda ka haridussektoris, kui mõni õppeasutus soovib pakkuda vastavaid
koolitusi juhtorgani liikmetele kui ka KüTSi subjekti ametnikele ja töötajatele.
Kaudne mõju on seotud riigi julgeoleku vaatenurgast, kuna mida teadlikumaks muutuvad
inimeste ja tööandjate teadlikkus küberturvalisuse tagamise vajadustest ning seotud teemadest,
seda rohkem on hoitud ja tagatud ühiskonna toimimine. See omakorda aitab ka tagada seda, mis
on ette nähtud Eesti julgeolekupoliitika alustes (vt seletuskirja punkti 6.2.2.).
Eesti infoturbestandardi osas on juba praegu olemas vastavad suunised ja juhendid asjakohases
portaalis – vt https://eits.ria.ee/et/avalehe-menueue/koolitusvideod, https://eits.ria.ee/et/avalehe-
menueue/juhendid, https://eits.ria.ee/et/avalehe-menueue/kogukond ja
https://eits.ria.ee/et/avalehe-menueue/suendmused. Asjakohased veebikoolitused on leitavad ka
Digiriigi Akadeemiast, turvalisuse saki all: https://digiriigiakadeemia.ee/, kuhu on peatselt
lisandumas ka koolitusmaterjal, mida saaks kasutada ka kommenteeritava muudatuse ehk
koolituse nõude täitmiseks.
Muudatusel puudub oluline mõju elu- ja looduskeskkonnale, regionaalarengule kui ka muud
otsesed või kaudsed mõjud.
Ulatus keskmine, sagedus keskmine, ebasoovitavate mõjude risk väike.
6.5. Kavandatav muudatus: järelevalveasutuse teavitamine üksuse andmetest
Kommenteeritav muudatus on seotud NIS2 direktiivi artikli 3 lõike 4 ja artikli 27 lõike 2
täitmisega, mis võetakse üle vastavalt eelnõu KüTS § 3 lõikega 31 ja § 4 lõikega 1.
Kohustuse sisu on seotud halduskoormusega KüTSi subjekti ja Riigi Infosüsteemi Ameti vahel.
Inimestele siin halduskoormust ei kaasne.
145 / 151
Selle mõlema kohustuse sisu on samalaadne – KüTSi subjekt (nii praegune kui ka uus subjekt)
annavad Riigi Infosüsteemi Ametile teada enda kohta käivatest teatavatest andmetest. Eelnõu
koostamise hetkel ei ole analüüsitud, kas seda teavitust on võimalik teha ka mõne IT-lahendust
kasutades, mis lähtuks andmete ühekordse küsimise põhimõttest ning riigi andmekogudes olevate
andmete taaskasutamisest – kuid seda võimalust on võimalik edaspidi analüüsida. Seda enam, et
tegemist ei ole nö ühekordse kohustusega, vaid kui mingites andmetes on toimunud muudatusi,
siis tuleb nendest ka Ametit ettenähtud tähtajaks teavitada. Tolle tähtaja pikkus sõltub sellest, kas
tegemist on digitaalse teenuse osutaja, teenuse osutaja ja domeeninimede registreerimise
teenuseid osutava üksusega. Eelduslikult nendes andmetes niivõrd tihti muudatusi ei tehta,
mistõttu tegemist ei ole kohustusega, mida tuleb liiga tihti täita.
Muudes valdkondades siinne muudatus olulist mõju ei avalda, mistõttu pole mõjusid sihtrühmade
kaupa eraldi välja toodud.
Ulatus väike, sagedus väike, ebasoovitavate mõjude risk väike.
6.6. Kavandatav muudatus: pädevate asutuste ja ülesannete määratlemine
NIS2 direktiivi mitmed artiklid näevad ette erinevate asutuste ja neile seotud ülesannete
määratlemisega, mis võetakse üle eelnõu KüTS §-s 5 tehtavate täiendustega. NIS2 direktiivi
artikkel 19 (vastastikune hindamine) ei täpsusta lõplikult, et kes valitsusasutuste mõttes peab
teatavaid ülesandeid täitma, mistõttu on eelnõuga tekitatud KüTS § 176. Delegeeritud määruse
2024/1366 artikli 4 lõige 1 näeb ka vajadust täpsustada pädevat asutust siseriiklikul tasandil,
mistõttu see võetakse üle eelnõu KüTS §-ga 52.
Eelnõu KüTS §-s 5 määratletakse erinevaid ülesandeid ja volitusi Vabariigi Valitsusele, Justiits-
ja Digiministeeriumile, julgeolekuasutustele ning Riigi Infosüsteemi Ametile, sh viimase osaks
olevale küberturbe intsidentide lahendamise üksusele. Eelnõu KüTS § 5 lõikes 2 on selgitatud,
miks on vajalik tolles paragrahvis olevate ülesannete sisu (millega näiteks eelmainitud
valitsusasutused juba tegelevad) eraldi sätestada. Seetõttu seda siin ei korrata.
Siinse muudatuse mõju on ennekõike riigiasutuste korraldusele. Muudes valdkondades siinne
muudatus olulist mõju ei avalda, mistõttu pole mõjusid sihtrühmade kaupa eraldi välja toodud.
Vabariigi Valitsusele antav ülesanne (küberturvalisuse strateegia vastu võtmine) ei ole olulise
mõjuga ülesanne, kuna sellega seotud põhitöö ehk koordineerimise ülesanne on Majandus- ja
Kommunikatsiooniministeeriumil, sh alates 01.01.2025. a on vastav ülesanne Justiits- ja
Digiministeeriumil. Küberturvalisuse strateegia lõplik vastu võtmine on praktikas toimunud
digiühiskonna arengukava osana, mille muutmine on eelnõu kirjutamise hetkel pooleli.
Mitmed eelnõuga sätestatavad ülesanded on ka sellised, mida Riigi Infosüsteemi Amet kui ka
Justiits- ja Digiministeerium tegelevad praegugi (viimase puhul sinna Majandus- ja
Kommunikatsiooniministeeriumist minev riikliku küberturvalisuse osakond) kehtiva õiguse
kohaselt. Seetõttu ei ole vajalik nende ülesannete seotud mõjusid analüüsida. Teatavad mõjud
võivad Riigi Infosüsteemi Ametile kaasneda lisanduvate KüTSi subjektide tõttu, kuid see on
seotud olemasolevate ülesannete suuremas mahus täitmisega, mitte uute ülesannetega. Ehk see
146 / 151
mõju on seotud ennekõike lisanduvate KüTSi subjektide vaatenurgast, keda saab näiteks
nõustada ning kelle suhtes teostatakse järelevalvet. See omakorda tekitab vajaduse täiendava
personali järele, millega omakorda kaasnevad täiendavad kulud.
Vastastikuse hindamisega seotud ülesanded ja nende teostamise maht sõltub ennekõike asjaolust,
kas Eesti soovib üldse osaleda NIS2 direktiiviga ette nähtud vastastikuses hindamises. Seetõttu ei
ole ka eeldatavasti siin olulist mõju Justiits- ja Digiministeeriumile kui ka Riigi Infosüsteemi
Ametile ega muudele küberturvalisuse valdkonna ekspertidele, keda võidakse kaasata selle
ülesande täitmisesse.
Julgeolekuasutusest järelevalveasutusele oluline mõju puudub, kuna eelnõu tehtav muudatuse
põhisisu on nende puhul olemas kehtivas õiguses ning siin sisulisi täiendusi või muudatusi ei
tehta, vaid muudatus on selguse loomiseks NIS2 direktiivi kontekstis.
Delegeeritud määruse 2024/1366 artikli 4 lõikes 1 oleva ülesande andmine Riigi Infosüsteemi
Ametile ei too samamoodi kaasa olulist mõju, kuna sama sektori (piiriüleste energiavoogudega
seotud ettevõte) suhtes omab Amet juba praegu vajalikke pädevusi. Kui siinset muudatust
eelnõuga ei tehta, siis oleks delegeeritud määruse 2024/1366 artikli 4 kohaselt nimetatud
ülesande täitjaks Eesti puhul Konkurentsiamet, kuid tolle asutuse mittesobivust on selgitatud
eelnõu KüTS §-s 52.
Muudatuse kaudne positiivne mõju on, et seaduse tasandil on täpsemalt ära määratletud, millised
valitsusasutused tegelevad NIS2 direktiivi ja delegeeritud määruse 2024/1366 artikli 4 tähenduses
küberturvalisuse valdkonnas. Muidugi on ka muudes õigusaktides mainitud ka teisi
valitsusasutusi, kes ka küberturvalisuse valdkonnaga tegelevad, kuid neid ei ole võimalik siinse
eelnõu puhul eraldi analüüsida.
Ulatus väike, sagedus keskmine, ebasoovitavate mõjude risk väike.
7. Seaduse rakendamisega seotud riigi ja kohaliku omavalitsuse tegevused, eeldatavad
kulud ja tulud
Siinses peatükis analüüsitakse neid tegevusi, sh eeldatavaid kulusid, mida eelnõu endaga kaasa
võib tuua. Eelnõul ei ole eeldatavat mõju kohaliku omavalitsuse üksuste eelarvetele, kuna
tegemist on kehtiva KüTSi subjektiga ning eelnõuga tehtavad muudatused ei ole sedavõrd
olulised, mis tingiksid nende analüüsimist siinses peatükis.
Eelnõuga ei prognoosita tulusid.
7.1. Vabariigi Valitsus ning Justiits- ja Digiministeerium
Vabariigi Valitsuse tasandil olevad tegevused on seotud riikliku küberturvalisuse strateegia vastu
võtmisega, mis kinnitatakse digiühiskonna arengukava osana. Tegemist on Vabariigi Valitsuse
tavapärase tegevusega, sh ka selle peamine ettevalmistamine on Justiits- ja Digiministeeriumis,
kus see on samuti põhitegevusega seotud ülesande täitmine. Digiühiskonna arengukava
muutmine on eelnõu kirjutamise hetkel pooleli.
147 / 151
Justiits- ja Digiministeeriumil olevad ülesanded ei tohiks tekitada kulutusi. Kui mingid
ressursivajadused tekivad, siis neid on võimalik analüüsida riigieelarve planeerimise protsessis.
7.2. Riigi Infosüsteemi Amet
Riigi Infosüsteemi Ameti tegevused on ennekõike seotud KüTSi uute subjektidega lisandumisega
ning nende suhtes tegevuste (ennekõike nõustamine ja järelevalve) läbi viimisega. Osad
ülesanded on (andmete küsimine, nende täpsustamine ja asjakohasel juhul edastamine Euroopa
Liidu Küberturvalisuse Ametile või Euroopa Komisjonile) kõigi KüTSi subjektide korral. See
tähendab ka täiendava ressursi (ennekõike personali) vajadust Riigi Infosüsteemi Ametile.
Majandus- ja Kommunikatsiooniministeerium taotles 24.05.2024. a Rahandusministeeriumilt
Vabariigi Valitsuse reservi sihtotstarbelistest vahenditest raha eraldamist summas 297 332 eurot,
et see saaks Riigi Infosüsteemi Ameti halduskulude (tööjõukuludeks) osaks 2024. a eelarves.63
Taotletud vahendite vajadus tulenes NIS2 direktiivi siseriikliku ülevõtmisega seotud lisanduvate
kohustuste täitmisega seotud kuludega. Rahandusministeerium tagastas 09.10.2024. a nimetatud
taotluse ning soovitati leida võimalused Majandus- ja Kommunikatsiooniministeeriumi 2023.
aasta ülekantud jääkide arvelt.64 Kuna küberturvalisuse valdkond, sh Riigi Infosüsteemi Amet
liigub 2025. aastal Justiits- ja Digiministeeriumi valitsemisalasse, siis tuleb tagada eelarve
olemasolu riigieelarve planeerimise käigus või esitades taotlus Rahandusministeeriumile
Vabariigi Valitsuse reservi sihtotstarbelistest vahenditest raha eraldamiseks.
7.3. Julgeolekuasutus
Julgeolekuasutustest on mõeldud Kaitsepolitseiametit ja Välisluureametit. Kuna
julgeolekuasutuste kui järelevalveasutuste puhul ei teki täiendavaid järelevalvatavaid, siis ei teki
neil täiendavaid tegevusi või märkimisväärseid kulutusi.
7.4. Muu tugi, koolitus ja toetused
Siinses alapeatükis antakse ülevaade valitsusasutuste ja nende valitsemisalas olevate asutuste
tegevustest (sh toetustest), mis aitavad siinse eelnõu ellu viimist ja rakendamist.
Justiits- ja Digiministeerium on ette valmistamas ka toetusmeedet KüTSi uutele subjektidele, et
neil oleks võimalik viia end vastavusse küberturvalisuse tagamisega seotud nõuetega (vt ka
allpool olevat küberturvalisuse taseme kaardistamise ja arendamise toetust). Meedet rahastab
Eesti riik. Lisaks sellele on ka ettevalmistamisel analüüs, et kuidas võiks toimuda ühest
(küber)intsidendist teavitamine mitmele pädevale asutusele (näiteks Riigi Infosüsteemi Ametile
ja Andmekaitse Inspektsioonile) nö ühe akna kaudu.
Riigi Infosüsteemi Ameti teenistujate osalusel on ka arendamisel abivahend Eesti
infoturbestandardi toetamiseks. Antud abivahend aitab rakendajal luua enda vajaduste põhine
turvameetmete rakendusplaan, seejuures vähendada vigade teket meetmete valimisel ja suunata
rakendaja koheselt meetmete rakendamisele. Peamine eesmärk on vähendada rakendaja jaoks
Eesti infoturbestandardi rakendamise protsessi keerukust. Sisuliselt on kõnealuse lahenduse näol
63 https://adr.rik.ee/mkm/dokument/15462072. 64 https://adr.rik.ee/mkm/dokument/16109492.
148 / 151
tegu interaktiivse rakendusjuhendiga. Seejuures säilib siiski kogu standardi olemus ja meetmetes
järeleandmisi ei tehta - küberruumi olukord nõuab jätkuvalt vähemalt põhimeetmete rakendamist
ja NIS2 direktiivi artikli 21 nõuded on seejuures kõikehõlmavad. Riigi Infosüsteemi Amet ei
hakka organisatsioonide turvet haldama ja haldamise teavet hoidma. Amet tegeleb standardi
arendamisega ja püüab leida lahendusi, et aidata rakendajal leida Eesti infoturbestandardist õiged
meetmed oma organisatsioonile võimalikult ressursse säästvalt. Sisulise rakendamise ja
haldamise peab teostama KüTSi subjekt oma tööriistadega lähtuvalt oma varadest ja meetmetest.
Eeldatav ajahorisont rakendusplaani koostamise abilise evitamisel: pilootimine ja peenhäälestus
on 2024. a 4, kvartal; ning avalikuks kasutamiseks avaldamine hiljemalt 2025. aasta 2. kvartal
(võimaluse korral ka varem). Testkeskkonna link https://mass.cloud.ut.ee/test-massui/ ja
töökeskkonna link https://mass.cloud.ut.ee/massui/.
Eesti infoturbestandardi osas on juba praegu olemas vastavad suunised ja juhendid asjakohases
portaalis – vt https://eits.ria.ee/et/avalehe-menueue/koolitusvideod, https://eits.ria.ee/et/avalehe-
menueue/juhendid, https://eits.ria.ee/et/avalehe-menueue/kogukond ja
https://eits.ria.ee/et/avalehe-menueue/suendmused.
Asjakohased veebikoolitused on leitavad ka Digiriigi Akadeemiast, turvalisuse saki all:
https://digiriigiakadeemia.ee/, kuhu on peatselt lisandumas ka koolitusmaterjal, mida saaks
kasutada ka eelnõu KüTS § 61 lõigete 2 ja 3 ehk koolituse nõude täitmiseks.
Kuni 2024. a septembrini oli Riigi Infosüsteemi Ametil koostöös Ettevõtluse ja Innovatsiooni
Sihtasutusega avatud toetusmeede, mis aitas Eesti väike- ja keskmise suurusega ettevõtjatel välise
nõustaja kaasabil selgitada välja oma IT süsteemide küberturvalisuse tase ja teha vajalikke
arendusi selle tõstmiseks, et kaitsta ennast küberrünnakute ja nendega kaasnevate
(majandus)kahjude vastu. Toetusmeetme eelarve oli ligi 900 tuhat eurot, millest pool on saadud
Euroopa Liidu Digital Europe programmist. Täpsem info on leitav siit:
https://eis.ee/toetused/kybertoetus/. Projekt oli kaheastmeline, mille esimene tegevussuund oli
oma küberturvalisuse hetkeseisu hindamine, saamaks ülevaade kõige põletavamatest puudustest
ja parandusettepanekutest. Selle tulemiks oli teekaart, millega anti hinnang ettevõtja
küberturvalisusele, tuuakse välja puudujäägid, küberturvalisuse taseme tõstmiseks vajalikud
tegevused ja ettepanekud tehniliste-, füüsiliste- ja organisatoorsete kaitsemeetmete
parandamiseks. Lisaks pidi teekaart sisaldama hinnangut vajalike arendusmeetmete kestusele,
tegevuste järjestust ning ühe aasta tegevuskava. Toetuse teises etapis oli võimalik ellu rakendada
teekaarti koos küberturvalisuse teenust pakkuva ettevõtja abiga. Tolle teise etapi elluviimise
tähtajaks on 28.02.2025. a. Selle teekaardi elluviimine aitab ettevõtjatel olla
konkurentsivõimeline ja usaldusväärne partner. Kuigi tegemist on juba suletud toetusega, siis on
olnud kavas sama või vähemalt sarnane toetusmeede avaldada, sh ka KüTSi uutele subjektidele.
Jätkuvalt on avatud ettevõtete digipöörde toetusmeede – lisainfo leitav:
https://eis.ee/toetused/digipoorde-toetus/. Selle meetme eelarve on ca 56 miljonit eurot ning
suurim toetus ettevõttele on kuni 300 000 eurot. Ettevõtja omaosalus on vähemalt 50%.
Toetusmeedet on rahastanud Euroopa Liidu taasterahastu NextGenerationEU vahenditest. Kuigi
149 / 151
selle toetuse pealkiri pole justkui otseselt seotud küberturvalisuse valdkonnaga, siis digipöörde
tegevuste käigus on võimalik ka ellu viia tegevusi, mis on vajalikud teha küberturvalisuse
tagamiseks. Siin vt tolle toetuse andmise tingimuste määruse65 § 7 lõiget 3, sh punkte 1–3, 8 ja
10.
8. Rakendusaktid
Eelnõu tulemusel rakendusaktide volitusnormid ei muutu kehtetuks.
Rakendusaktide ja teiste määruste muudatuste kavandid on lisatud seletuskirja lisana 2.
Rakendusaktid ja teiste määruste muudatused on planeeritud jõustuma eelnõuga samal ajal, kuid
kui praktikas toimub nende määruste andmine pärast eelnõu jõustumist, siis jõustuvad need
määrused määruses ette nähtud ajal.
8.1. Uued rakendusaktid
Eelnõu seadusena vastuvõtmisel tuleb ette valmistada järgmiste määruste terviktekstid:
8.1.1. Vabariigi Valitsuse määrus „Täiendava valdkonna ja sektori määramine, milles tegutseva
üksuse osas kohaldatakse küberturvalisuse seaduse nõudeid“
Määruse kehtestamise aluseks on KüTS § 1 lg 16, mis näeb ette, et Vabariigi Valitsus võib sama
paragrahvi lõike 14 punktides 1, 2, 3 ja 4 kriteeriumitest lähtuvalt määrata määrusega valdkonna
või sektori, milles oleva isiku suhtes kohaldatakse teenuse osutaja kohta sätestatut olenemata
tema suurusest.
Selle määruse puhul on määruse sisustamisel täiendav volitusnorm KüTS § 3 lõikes 14, mis näeb
ette, et kommenteeritava määruse andmisel sätestatakse samas määruses, kas teenuse osutaja on
elutähtis üksus või oluline üksus. Seda määratlust tegemata ei ole võimalik kohaselt rakendada
eelnõuga lisanduvaid KüTSi norme järelevalve osas.
Eelnõu KüTS § 1 lõike 16 selgitustes on põhjendatud, miks määruse volitusnorm luuakse ning
miks see on Vabariigi Valitsuse, mitte ministri tasandil. Neid selgitusi siin ei korrata.
Kommenteeritava määruse aluseks olevat volitusnorm ei eelda määruse kohest kehtestamist
seaduse jõustumisel.
8.1.2. Vabariigi Valitsuse määrus „Euroopa küberturvalisuse sertifitseerimise kavas oleva IKT-
toote, IKT-teenuse ja IKT-protsessi järgimise kohustuse kehtestamine“
Määruse kehtestamise aluseks on KüTS § 133 lõige 1, mis näeb ette, et Vabariigi Valitsus võib
määrusega kohustada teenuse osutajat järgima KüTS §-s 7 sätestatud nõuetele vastavuse
tõenduseks teatavate IKT-toodete, IKT-teenuste ja IKT-protsesside kasutamist, mis on
sertifitseeritud määruse 2019/881 artikli 49 kohaselt vastu võetud Euroopa küberturvalisuse
sertifitseerimise kava alusel. Too kava on töötatud välja teenuse osutaja poolt või hangitud
kolmandalt isikult.
65 Ettevõtlus ja infotehnoloogiaministri 17.08.2022. a määrus nr 65 „Ettevõtete digipöörde toetuse tingimused ja
kord“ – https://www.riigiteataja.ee/akt/119082022005?leiaKehtiv.
150 / 151
Kommenteeritava paragrahvi selgitustes on põhjendatud, miks määruse volitusnorm luuakse ning
miks see on Vabariigi Valitsuse, mitte ministri tasandil. Samuti on seal põhjendatud erisust, et
millal kõnealuse volitusnormi alusel antud määrust ei kohaldata. Neid selgitusi siin ei korrata.
Kommenteeritava määruse aluseks olevat volitusnorm ei eelda määruse kohest kehtestamist
seaduse jõustumisel. Selle kehtestamine sõltub mitmest asjaolust: 1) 2019/881 artikli 49 kohaselt
vastu võetud Euroopa küberturvalisuse sertifitseerimise kava vastu võtmisest (hetkel on ainult
üks66 kava olemas, kuid töös67 on kava pilvteenuste jaoks (EUCS) ja 5G tehnoloogia
kohta(EU5G), kuid on olnud mõtteid teha ka kava tehisintellekti kohta kui ka hallatud
turbeteenuste osutajatele); 2) kas on olemas vajalikud ressursid Eestis, et sertifitseerimise skeemi
ellu viia; 3) kas on reaalne vajadus või sektori poolne huvi kehtestada määrusega konkreetse
skeemi kasutamiseks. Eelmainitud asjaolud ei ole ammendavad ehk siin võib olla veel muid
asjaolusid ning tingimusi, mis selle määruse andmist mõjutavad.
8.1.3. Justiits- ja digiministri määrus „Võrgu- ja infosüsteemi pidamise ja küberintsidendist
teavitamise nõuete järgimise ulatuse ning tingimuste erisuste kehtestamine“
Määruse kehtestamise aluseks on KüTS § 1 lg 41, mis näeb ette, et sama paragrahvi lõikes 4
sätestatud erisuste esinemise korral võib valdkonna eest vastutav minister määrusega täpsustada
KüTSi nõuete järgimise ulatust ja tingimusi.
Kommenteeritava paragrahvi selgitustes on põhjendatud, miks määruse volitusnorm luuakse ning
miks see on ministri tasandil. Samuti on seal selgitatud, mida mõeldakse ulatuse ja tingimuste all.
Neid selgitusi siin ei korrata.
8.2. Muudetavad rakendusaktid
Eelnõu seadusena vastuvõtmisel tuleb muuta järgmisi määruseid:
- Vabariigi Valitsuse 09.12.2022 määrus nr 121 „Võrgu- ja infosüsteemide küberturvalisuse
nõuded“ (RT I, 19.06.2024, 12);
- Vabariigi Valitsuse 03.01.2024 määrus nr 1 „Võrgu- ja infosüsteemi turvameetmete nõuded
ja nende kohaldamise ulatus pilvteenuse kasutamisel“ (RT I, 09.01.2024, 25);
- majandus- ja infotehnoloogiaministri 17.08.2023 määrus nr 53 „Küberintsidentide registri
põhimäärus“ (RT I, 24.08.2023, 3);
- majandus- ja taristuministri 28.06.2018 määrus nr 37 „Elutähtsa teenuse kirjeldus ja
toimepidevuse nõuded elektriga varustamisel“ (RT I, 08.12.2023, 3).
9. Kaasamine
Eelnõu koostamisele eelnesid kaasavad arutelud (kärajad), mis toimusid 2023. a juunis nii
avalikule sektorile kui ka erasektorile. Nendel kärajatel osalesid huvigrupid järgmistest
organisatsioonidest ja liitudest: Advokatuur / Advokaadibüroo Nove, Eesti Infotehnoloogia ja
66 EU Cybersecurity Certification Scheme on Common Criteria (EUCC) –
https://certification.enisa.europa.eu/certification-library/eucc-certification-scheme_en. 67 Koostamisel olevad sertifitseerimise skeemid – https://certification.enisa.europa.eu/about-eu-
certification/developing-certification-schemes_en.
151 / 151
Telekommunikatsiooni Liit, Eesti Jõujaamade ja Kaugkütte Ühing, Eesti Linnade ja Valdade Liit,
Eesti Pank, Eesti Rahvusringhääling, Eesti Vee-ettevõtete Liit, Elektrilevi, Finantsinspektsioon,
Greenergy Data Centres, Huawei Technologies Eesti, Kaitseministeerium, Kultuuriministeerium,
Maksu- ja Tolliamet, Proud Engineers, Põhja-Eesti Regionaalhaigla, Rahapesu Andmebüroo,
Registrite ja Infosüsteemide Keskus, Riigi Infosüsteemi Amet, Riigikantselei, Saaremaa vald,
SEB Pank, Siseministeeriumi infotehnoloogia- ja arenduskeskus, SK ID Solutions, Swedbank,
Tallinna Lennujaam, Tallinna Vesi, Tarbijakaitse ja Tehnilise Järelevalve Amet, Telia Eesti, Tori
vald ja Viru Keemia Grupp.
Eelnõu koostamisel toimus arutelusid ka Eesti Interneti sihtasutusega ennekõike NIS2 direktiivi
artikli 28 kui ka muude nende tegevusvaldkonnaga seotud artiklite üle võtmisega seoses.
1 / 15
Küberturvalisuse seaduse ja teiste seaduste
muutmise seadus (küberturvalisuse 2. direktiivi
ülevõtmine) eelnõu seletuskirja
Lisa 1
Euroopa Parlamendi ja nõukogu direktiiv (EL) 2022/2555, 14. detsember 2022, mis käsitleb meetmeid, millega tagada küberturvalisuse
ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse
kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv), ning küberturvalisuse seaduse ja teiste seaduste
muutmise seaduse (küberturvalisuse 2. direktiivi ülevõtmine) vastavustabel
Euroopa Parlamendi ja nõukogu direktiiv (EL)
2022/2555
ELi õigusakti normi
ülevõtmise kohustus
Jah / Ei / Valikuline
Üle võtmine või viide kehtivale õigusele sh kommentaarid
Artikkel 1
Reguleerimisese
Lõige 1 ei
Lõige 2 ei
Tegemist on direktiivi sisse juhatava üldsättega sarnaselt
riigisisestes seadustes kasutatava reguleerimisala sättega, milles
loetletakse õigusaktis käsitletavad õigusinstituudid. Seega, see ei
sea liikmesriigile kohustusi, vaid aitab õigusakti paremini mõista.
Seetõttu ei ole olemuslikult tegemist sättega, mis vajab
ülevõtmist.
Artikkel 2
Kohaldamisala
Lõige 1
jah esimene tekstilõik – KüTS § 1 lg 11 ja 12
teine tekstilõik – KüTS § 1 lg 11
Lõige 2 jah KüTS § 1 lõiked 13 kuni 16 ning seotud on ka § 5 lg 11 kuni 16.
Art 2 lg 2 f ii ehk piirkondliku tasandi üksus – kuna Eestis sellele
vastavaid üksusi pole, siis seda üle ei võeta
Lõige 3 jah KüTS § 1 lg 13 p 8
Lõige 4 jah KüTS § 1 lg 13 p 5
Lõige 5 valikuline - jah KüTS § 1 lg 15 punktid 1 ja 10
Lõige 6 ei
Lõige 7 valikuline - jah KüTS § 1 lg 2
Lõige 8 valikuline - jah KüTS § 1 lg 2
Lõige 9 jah KüTS § 1 lg 21
Lõige 10 ei Kuna tegemist on välistusega, siis eraldi ei võeta üle
Lõige 11 ei
Lõige 12 ei
Lõige 13 jah KüTS § 12 lõiked 4, 41 ja 5 ning § 174
Lõige 14 ei
Artikkel 3
Elutähtsad ja olulised üksused
Lõige 1 jah KüTS § 3 lg 11, 12 ja 14.
Lõige 2 jah KüTS § 3 lg 11, lg 13 ja 14.
Lõige 3 jah KüTS § 3 lg 3 ja § 20 lg 1
Lõige 4 jah v.a viimase taande
ulatuses, mis
võimaldab (aga ei
kohusta) liikmesriigil
luua võimalused
üksustel end ise
registreerida.
Esimene tekstilõik – KüTS § 3 lg 31.
Teine tekstilõik – KüTS § 3 lg 32.
Kolmas tekstilõik – KüTS § 3 lg 34.
Neljas tekstilõik – ei võeta üle.
Lõige 5 jah KüTS § 3 lg 33 ja § 20 lg 2.
Lõige 6 jah KüTS § 20 lg 3.
Artikkel 4
Valdkondlikud liidu õigusaktid
Lõige 1 jah KüTS § 1 lg 4 ja lg 41 alusel antav määrus.
Lõige 2 jah KüTS § 1 lg 4 ja lg 41 alusel antav määrus.
Lõige 3 ei
Artikkel 5
Minimaalne ühtlustamine
Üks tekstilõik ei
Artikkel 6
Mõisted
Käesolevas direktiivis kasutatakse järgmisi
mõisteid:
Punkt 1 valikuline - jah KüTS § 2 p 1
Punkt 2 valikuline - jah sõna „tegevusele“ on asendatud sõnaga „sündmusele“ KüTS § 2
punktis 2
Punkt 3 valikuline – jah KüTS § 2 punkt 14
Punkt 4 valikuline - ei Seotud on KüTS § 5 lg 1 ja tulevikus Justiits- ja
Digiministeeriumi põhimäärusega. Eraldi definitsioonina ei
sõnastata.
2 / 15
Punkt 5 valikuline – jah KüTS § 2 punkt 3 (küberintsidendi mõiste hõlmab ka „ohtu“).
Punkt 6 valikuline – jah KüTS § 2 punkt 3
Punkt 7 valikuline – jah KüTS § 2 punkt 31
Punkt 8 valikuline - jah KüTS § 2 punkt 32
Punkt 9 valikuline - jah KüTS § 2 punkt 33
Punkt 10 valikuline – jah KüTS § 2 punkt 34
Punkt 11 valikuline - jah KüTS § 2 punkt 35
Punkt 12 valikuline – jah KüTS § 2 punkt 37
Punkt 13 valikuline – jah KüTS § 2 punkt 38
Punkt 14 valikuline – jah KüTS § 2 punkt 39
Punkt 15 valikuline - jah KüTS § 2 punkt 36
Punkt 16 valikuline – ei ei defineerita seaduses
Punkt 17 valikuline – ei ei defineerita seaduses
Punkt 18 valikuline - jah KüTS § 2 punkt 41
Punkt 19 valikuline - jah KüTS § 2 punkt 42
Punkt 20 valikuline - jah KüTS § 2 punkt 43
Punkt 21 valikuline - jah KüTS § 2 punkt 44
Punkt 22 valikuline - jah KüTS § 2 punkt 45
Punkt 23 valikuline – ei ei defineerita KüTSis, vaid on defineeritud InfoTS § 2 punktis 1
kui „infoühiskonna teenus“.
Punkt 24 valikuline – ei ei defineerita seaduses
Punkt 25 valikuline – jah KüTS § 2 punkt 46
Punkt 26 valikuline – jah KüTS § 2 punkt 46
Punkt 27 valikuline – jah KüTS § 2 punkt 47
Punkt 28 valikuline - jah KüTS § 2 punkt 5
Punkt 29 valikuline - jah KüTS § 2 punkt 6
Punkt 30 valikuline - jah KüTS § 2 punkt 7
Punkt 31 valikuline - jah KüTS § 2 punkt 71
Punkt 32 valikuline - jah KüTS § 2 punkt 72
Punkt 33 valikuline - jah KüTS § 2 punkt 73
Punkt 34 valikuline - jah KüTS punktid 74 ja 75
Punkt 35 valikuline - jah KüTS § 2 punktid 12 ja 13
Punkt 36 valikuline – jah KüTS § 2 p 9
Punkt 37 valikuline – jah KüTS § 2 p 10
Punkt 38 valikuline - jah KüTS § 2 punkt 11
Punkt 39 valikuline - jah KüTS § 2 p 11
Punkt 40 valikuline - jah KüTS § 2 p 12
Punkt 41 valikuline - jah KüTS § 2 p 13
Artikkel 7
Riiklik küberturvalisuse strateegia
Lõige 1 jah KüTS § 5 lg 1
Lõige 2 jah KüTS § 5 lg 1
Lõige 3 jah KüTS § 5 lg 1
Lõige 4 jah KüTS § 5 lg 1
Artikkel 8
Pädevad asutused ja ühtsed kontaktpunktid
Lõige 1 jah KüTS § 5 lg 3 p 1 ja lg 9.
Lõige 2 jah KüTS § 12 lg 1 ja 4. peatükk
Lõige 3 jah KüTS § 5 lg 3 p 1.
Lõige 4 jah KüTS § 174 lg 5
Lõige 5 ei
Lõige 6 ei ei reguleerita; teavituse teeb RIA
Artikkel 9
Riiklikud küberkriiside ohjamise raamistikud
Lõige 1 jah KüTS § 5 lg 3 p 2, HOS § 14 ning selle lõike 3 alusel antud
määruse § 2 lg 5 ning HOS § 14 lg 5 alusel antud määrus.
CER direktiivi üle võtvas HOS-i muutmise eelnõus jääb sama
korraldus ehk nendes §-ides muudatusi ei tehta. Samad nõuded-
põhimõtted on olemas ka 01.01.2026 jõustuma kavandatud
tsiviilkriisi ja riigikaitse seaduse eelnõus (mis asendab HOS-i)
ehk see ei too sisu osas uusi muudatusi. Seetõttu puudub hetkel
vajadus täiendava regulatsiooni jaoks KüTS-is (v.a. art 9 lg 4 ja
5 teemal).
Lõige 2 jah kuna määratakse KüTS § 5 lg 3 p 2 alusel üks asutus (RIA), siis
puudub vajadus muid sätteid tekitada.
Lõige 3 jah Menetlused tulevad HOS-ist, sh CER-direktiivi üle võttev eelnõu
siin (sisulisi) muudatusi ei too. Tulevikus asendab HOS-i
tsiviilkriisi ja riigikaitseseadus, mille menetlusi ja seotud
meetmed on samaväärsed HOS-iga. Seetõttu puudub hetkel
vajadus eraldi KüTS-is seda temaatikat reguleerida.
Lõige 4 jah KüTS § 121, sh on valdkondlike õigusaktide all mõeldud HOS-i
(tulevikus ka tsiviilkriisi ja riigikaitseseadust) ja selle alusel antud
määrusi.
3 / 15
Teemaga on seotud ka Euroopa Komisjoni 11. märtsi 2024. a
delegeeritud määruse (EL) 2024/1366 artikli 41 (Küberkriisi
ohjamise ja kriisile reageerimise kavad) lõige 3.
HOS § 14 lg 3 alusel antud määruse § 4 sisustab hädaolukorra
lahendamise plaani sisu – selle seosed kommenteeritava NIS2
direktiivi artikliga:
Punkt a – määruse § 4 p 4
Punkt b – määruse § 4 p 3 ning kaudselt ka punktid 5-8, 10, 11,
13 ning 14
Punkt c – HOS tervikuna, ennekõike 3. ja 4. peatükid, sh nt HOS
§14
Punkt d – HOS tervikuna, sh nt õppuste puhul HOS § 18 ja selle
alusel antud määrus
Punkt e – määruse § 4 punktid 3 ja 11
Punkt f – HOS tervikuna, ennekõike 3. ja 4. peatükid; HOS § 14
lg 3 alusel antud määruse § 4 p 3 ning kaudselt ka punktid 5–8
ning 10–14.
Lõige 5 jah Lause 1 – RIA teavitab, puudub vajadus eraldi sätte tekitamiseks.
Lause 2 – KüTS § 121 lg 2 p 2.
Lause 3 – KüTS § 121 lg 1 tõttu kohaldub siin KüTS § 12 lg 4
esimese lause lõpp.
Artikkel 10
Küberturbe intsidentide lahendamise üksused
(CSIRTid)
Lõige 1 jah KüTS § 5 lg 3 p 3 ja lg 4 p 1
Lõige 2 ei ei reguleerita
Lõige 3 ei seotud säte on KüTS § 5 lg 5 p 14
Lõige 4 jah KüTS § 5 lg 5 p 2 ja 4, § 174 lg 1 p 9 ja § 175 lg 4
Lõige 5 jah KüTS § 5 lg 5 p 1.
Lõige 6 ei
Lõige 7 jah, välja arvatud
viimane lause
KüTS § 5 lg 5 p 3 ja § 174 lg 6. Isikuandmete kaitse valdkonna
nõuded on otsekohalduvad isikuandmete kaitse üldmäärusest
ning CSIRT ei ole õiguskaitseasutus Euroopa Parlamendi ja
nõukogu (EL) direktiivi 2016/680 (mis on üle võetud
isikuandmete kaitse seaduse § 13 lõikega 2), mistõttu puudub
vajadus viimast lauset reguleerida.
Lõige 8 jah KüTS § 5 lg 5 p 3.
Lõige 9 ei ei reguleerita, RIA teavitab.
Lõike 10 ei
Artikkel 11
CSIRTidele esitatavad nõuded, nende tehniline
võimekus ja ülesanded
Lõige 1 jah KüTS § 5 lg 4 p 2–9, lg 5 p 5
Lõige 2 ei ei reguleerita
Lõige 3 jah KüTS § 5 lg 5 p 6–15 ja lg 6 ning § 12 lg 2
Lõige 4 jah KüTS § 5 lg 5 p 16
Lõige 5 jah KüTS § 5 lg 7
Artikkel 12
Nõrkuste koordineeritud avalikustamine ja
Euroopa nõrkuste andmebaas
Lõige 1 jah KüTS § 5 lg 3 p 4 ja lg 8 ning § 81 lg 1 punktid 1 ja 2 ning lg 2.
Teemaga on seotud ka KüTS § 13 ja selle alusel antud määrus.
Lõige 2 ei
Artikkel 13
Koostöö liikmesriigi tasandil
Lõige 1 valikuline - jah RIAl on pädeva asutuse, ühtse kontaktpunkti ja CSIRTi
ülesannetes (KüTS § 5 lg 3 punktid 1 ja 3), kuid kuna
julgeolekuasutused on piiratud ulatuses pädev asutus (KüTS § 5
lg 9), siis koostöö jaoks on tekitatud KüTS § 174 lg 1 p 8.
Lõige 2 jah KüTS § 8 lg 1 ja lg 10 ning § 81 lg 1 punktid 1 ja 2
Lõige 3 valikuline - jah KüTS § 174 lg 1 p 8 ja lg 4
Lõige 4 valikuline - jah KüTS § 174 lg 1 punktid 1–10
Lõige 5 jah KüTS § 174 lg 2 ja 4
Lõige 6 ei
Artikkel 14
Koostöörühm
Lõige 1 ei
Lõige 2 ei
Lõige 3 jah KüTS § 5 lg 2
Lõige 4 ei
Lõige 5 ei
Lõige 6 ei
Lõige 7 ei
Lõige 8 ei
4 / 15
Lõige 9 ei
Artikkel 15
CSIRTide võrgustik
Lõige 1 ei
Lõige 2 jah KüTS § 5 lg 3 p 5
Lõige 3 ei
Lõige 4 ei
Lõige 5 ei
Lõige 6 ei
Artikkel 16
Euroopa küberkriisiga tegelevate
kontaktasutuste võrgustik (EU-CyCLONe)
Lõige 1 ei
Lõige 2 jah KüTS § 5 lg 3 p 6
Lõige 3 ei
Lõige 4 ei
Lõige 5 ei
Lõige 6 ei
Lõige 7 ei
Artikkel 17
Rahvusvaheline koostöö
Üks tekstilõik ei
Artikkel 18
Aruanne küberturvalisuse olukorra kohta liidus
Lõige 1 ei
Lõige 2 ei
Lõige 3 ei
Artikkel 19
Vastastikune hindamine
Lõige 1 valikuline - jah Esimene tekstilõik, esimene lause – KüTS § 176 lg 2.
Esimene tekstilõik, teine lause – KüTS § 176 lg 1.
Esimene tekstilõik, kolmas ja neljas lause – KüTS § 176 lg 3
Teine tekstilõik – KüTS § 176 lg 4 p 4
Lõige 2 valikuline - jah otseselt üle ei võeta, kuid esimese lausega on kaudselt seotud
KüTS § 176 lõiked 2 ja 3
Lõige 3 valikuline - jah KüTS § 176 lg 4 punkt 4
Lõige 4 valikuline - jah KüTS § 176 lg 4 punkt 4
Lõige 5 valikuline - jah KüTS § 176 lg 4 punkt 5
Lõige 6 valikuline - jah Lause 1 – KüTS § 176 lg 6 p 1.
Lause 2 – KüTS § 176 lg 4 punkt 6 ja lg 5
Lause 3 – KüTS § 176 lg 2
Lause 4 – KüTS § 176 lg 6 p 2
Lause 5 ehk konfidentsiaalsuse tagamise nõue: ametnike puhul
kaetud avaliku teenistuse seaduse §-iga 55; töötajate puhul on
sätetena seotud töölepingu seaduse § 6 lg 3 ja § 22; lisaks veel
avaliku teabes seaduse § 38 lg 3 lause 2 ning AK-märgetena saab
kasutada samas seaduse § 35 lg 1 punkte 3, 9 ja 10 kui AK-
alustena. Kui kaasatakse keegi muu isik, kellele nimetatud
nõuded ei kohaldu (nt käsunduslepingu alusel), siis on võimalik
sõlmida konfidentsiaalsuskinnitus – seetõttu ongi KüTS § 176 lg
6 p 3, et see hõlmaks ka neid muid osapooli.
Lõige 7 valikuline - jah KüTS § 176 lg 4 p 7, lg 6 p 4
Lõige 8 valikuline - jah KüTS § 176 lg 4 p 2, 3
Lõige 9 valikuline - jah Lause 1 – KüTS § 176 lg 6 p 5.
Lause 2 – KüTS § 176 lg 4 p 8
Lause 3 – KüTS § 176 lg 6 p 6
Lause 4 – KüTS § 176 lg 4 p 9
Lause 5 – KüTS § 176 lg 4 p 10
Artikkel 20
Juhtimine
Lõige 1 jah KüTS § 61 lg 1 ning kaudselt seotud ka KüTS § 184
Lõige 2 jah KüTS § 61 lg 2 ja 3 ning kaudselt seotud ka KüTS § 184
Artikkel 21
Küberturvalisuse riskijuhtimismeetmed
Lõige 1 jah Esimene tekstilõik - KüTS § 7 lg 1
Teine tekstilõik - KüTS § 7 lg 21 punktid 3, 4 ja 5 ning sellega on
seotud lg 5 ja selle alusel antud määrused.
Lõige 2 jah Sissejuhatav tekst: KüTS § 7 lg 21 punkt 6.
Punkt a – KüTS § 7 lg 2 p 1, 2, 14
Punkt b – KüTS § 7 lg 2 p 3 ja 4
Punkt c – KüTS § 7 lg 2 p 5
Punkt d – KüTS § 7 lg 2 p 6
Punkt e – KüTS § 7 lg 2 p 7
Punkt f – KüTS § 7 lg 2 p 8
5 / 15
Punkt g – KüTS § 7 lg 2 p 9
Punkt h – KüTS § 7 lg 2 p 10
Punkt i – KüTS § 7 lg 2 p 11 ja 12
Punkt j – KüTS § 7 lg 2 p 13
Lõige 3 jah KüTS § 7 lg 22
Lõige 4 jah KüTS § 7 lg 23
Lõige 5 jah KüTS § 7 lg 6
Artikkel 22
Liidu tasandi kriitilise tähtsusega tarneahelate
koordineeritud turberiski hindamised
Lõige 1 ei
Lõige 2 ei
Artikkel 23
Teatamiskohustus
Lõige 1 jah Esimene tekstilõik, lause 1 – KüTS § 8 lg 1
Esimene tekstilõik, lause 2 – KüTS § 8 lg 5
Esimene tekstilõik, lause 3 – KüTS § 8 lg 41 p 3
Esimene tekstilõik, lause 4 – puudub vajadus üle võtmiseks
Teine ja kolmas tekstilõik – puudub vajadus üle võtmiseks, kuna
pädeva asutuse, CSIRT-i ja ühtse kontaktpunkti ülesandeid täidab
RIA
Teemaga on seotud ka KüTS § 13 ja selle alusel antud määrus.
Julgeolekuasutuste osas – KüTS § 8 lg 10
Lõige 2 jah KüTS § 8 lg 5
Lõige 3 jah Punkt a – KüTS § 8 lg 2 punktid 1, 2, 4 ja 5
Punkt b – KüTS § 8 lg 2 punktid 3 ja 5
Lõige 4 jah Esimene tekstilõik, sissejuhatav lause – KüTS § 8 lg 1
(teavitatakse RIAt); julgeolekuasutuste osas kehtib KüTS § 8 lg
10.
Esimene tekstilõik, punkt a ja b – KüTS § 8 lg 1 sissejuhatav lause
ja lg 41.
Esimene tekstilõik, punkt c – KüTS § 8 lg 42.
Esimene tekstilõik, punkt d ja e – KüTS § 8 lg 7.
Teine tekstilõik – KüTS § 8 lg 1 ja seotud on lg 41.
Teemaga on seotud ka KüTS § 13 ja selle alusel antud määrus.
Lõige 5 jah Laused 1 ja 4 – KüTS § 12 lg 31.
Laused 2 ja 3 – puudub vajadus reguleerimiseks, kuna RIA
teostab CSIRTi ja pädeva asutuse ülesandeid.
Lõige 6 jah Laused 1 ja 2 – KüTS § 12 lg 4
Lause 3 – konfidentsiaalsuse tagamise nõue: ametnike puhul
kaetud avaliku teenistuse seaduse §-iga 55; töötajate puhul on
sätetena seotud töölepingu seaduse § 6 lg 3 ja § 22; lisaks veel
avaliku teabes seaduse § 38 lg 3 lause 2. Lisaks kehtib siin ka
KüTS § 12 lg 5.
Lõige 7 jah Kaetud KüTS § 8 lõigetega 5 ja 6, sh ka KüTS § 12 lõikega 3
Lõige 8 jah RIA-l on CSIRTi, pädeva asutuse ja ühtse kontaktpunkti
ülesanded (KüTS § 5 lg 3 punktid 1 ja 3). Edastamine on KüTS
§ 12 lõikes 4.
Lõige 9 jah – esimene lause Esimene lause – KüTS § 12 lg 41 ja § 20 lg 5.
Laused 2 ja 3 – ei ole vaja üle võtta.
Lõige 10 jah KüTS § 174 lg 2.
Lõige 11 jah Esimene tekstilõik – KüTS § 8 lg 81
Teine tekstilõik – KüTS § 8 lg 2 p 6.
Kolmas ja neljas tekstilõik – puudub vajadus üle võtmiseks.
Artikkel 24
Euroopa küberturvalisuse sertifitseerimise
kavade kasutamine
Lõige 1 valikuline - jah KüTS § 133 lg 1 ja 2
Lõige 2 valikuline – jah KüTS § 133 lg 3
Lõige 3 ei
Artikkel 25
Standardimine
Lõige 1 ei
Lõige 2 ei
Artikkel 26
Jurisdiktsioon ja territoriaalsus
Lõige 1 jah KüTS § 11 lõiked 1 ja 2
Lõige 2 jah KüTS § 11 lg 3
Lõige 3 jah KüTS § 11 lg 4, lg 5, § 2 p 75, § 4 lg 2
Esimene lause – KüTS § 2 p-d 74 ja 75 ning § 4 lg 2.
Teine lause – KüTS § 4 lg 2.
6 / 15
Kolmas lause – KüTS § 11 lg 4.
Neljas lause – KüTS § 11 lg 5.
Lõige 4 jah KüTS § 11 lg 6
Lõige 5 jah KüTS § 173 lg 7
Artikkel 27
Üksuste register
Lõige 1 jah – teine lause teine lause – KüTS § 4 lg 13
Lõige 2 jah KüTS § 4 lg 1 ja § 20 lg 4
Lõige 3 jah KüTS § 4 lg 11
Lõige 4 jah KüTS § 4 lg 12
Lõige 5 valikuline - ei ei reguleerita, kuid kaudselt on seotud KüTS § 4 lg 14
Artikkel 28
Domeeninimede registreerimisandmete
andmebaas
Lõige 1 jah Siinne artikkel on üle võetud Eesti Interneti SA nõukogu (kus on
ka riigi esindajad) ja juhatuse poolt. Vt täpsemalt:
Muudatused .ee domeenireeglites — Eesti Interneti SA
https://www.internet.ee/eis/uudiste-arhiiv/muudatused-ee-
domeenireeglites. Sama teate lõpus on neli dokumenti:
.ee domeenireeglid (jõustub 1.02.2025) – siinse NIS2
artikli kommentaaris viidatud kui „domeenireeglid“
.ee domeenireeglite muudatusettepanekud koos
selgitustega – siinse NIS2 artikli kommentaaris viidatud
kui „domeenireeglite selgitused“
EISi juhatuse poolt aktsepteeritud elektrooniliste
isikutuvastusvahendite nimekiri (jõustub 26.08.2024) –
siinse NIS2 artikli kommentaaris viidatud kui
„aktsepteeritud elektrooniliste isikutuvastusvahendite
nimekiri“
Registrileping (jõustub 1.02.2025) – siinse NIS2 artikli
kommentaaris viidatud kui „registrileping“
Konkreetsed viited üle võtmise kohta:
Domeenireeglite p 3.1.1, p 12.12. ning seotud
domeenireeglite selgituste dokumendi punkt A.10 lk-del
14-15.
Isikuandmete kaitse valdkonna nõuded on
otsekohalduvad isikuandmete kaitse üldmäärusest ning
seotud on ka domeenireeglite p 8 (isikuandmete
töötlemine ja kaitse) koos selle alapunktidega, sh seotud
on ka p 8.6. alusel Eesti Interneti SA juhatuse kehtestatud
täiendavad selgitused ja juhised, mis avaldatakse SA
veebilehel.
Teemaga on seotud ka registrilepingu p 5.1.5., p 11 koos
alapunktidega (isikuandmete töötlemine) ning
registrilepingu lisa 4 (juhis isikuandmete töötlemiseks).
Lõige 2 jah Konkreetsed viited üle võtmise kohta:
Domeenireeglite p 3.1.1 (isikusamasust kontrollitakse); p
3.1.2. (domeeninimi registreeritakse
registreerimistaotluse laekumise ajalises järjekorras;
Eesti Interneti SA genereerib registreerimise kuupäeva
automaatselt); p 3.4.1. (EIS WHOIS teenuse vahendusel
avaldatakse domeeninime kohta mh ka selle
registreerimise aeg); p 4.1 alapunktid (registreerija
kohustused - üldnõuded); p 41 (isiku tuvastamise ja
isikusamasuse kontrollimise nõuded); p 12.3
(isikusamasuse esitamine ja esindusõiguse
kontrollimiseks vajalike andmete ning dokumentide
esitamine); seotud on ka p-id 12.4-12.11.
Aktsepteeritud elektrooniliste isikutuvastusvahendite
nimekiri.
Lõige 3 jah Konkreetsed viited üle võtmise kohta:
Lause 1 –
Domeenireeglite p 3.1. alapunktid (domeeninimede
registreerimine – taotlemise tingimused); p 3.4. koos
alapunktidega (EIS tegevus domeeninime
registreerimisel); p 5.1. (domeeninimede registreerimise
teenuse puhul loetakse domeenireeglid teenuse lepingu
lahutamatuks osaks), p 5.3.3. (kontaktandmete
uuendamine), p 5.3.5. koos alapunktidega (registreeringu
kustutamine), p 6 koos alapunktidega (domeeninime
mitteregistreerimine, peatamine ja kustutamine), p 7 koos
alapunktidega (registrilepingu lõppemise tagajärjed), p
7 / 15
9.2. (domeenireeglite kehtestamine ja muutmine), p 12
koos alapunktidega (lõppsätted);
Registrileping tervikuna, kuid ennekõike selle p 7. koos
alapunktidega (registreerimisteenuste osutamine), p 8
koos alapunktidega (registreerija andmed), p 9 koos
alapunktidega (domeenireeglid), p 10 koos alapunktidega
(dokumenteerimine), p 13.6.; domeenireeglite selgituste
dokumendi punkt C1 lk-l 19.
Kaudselt on seotud domeenireeglite p-id 3.2.2.-3.2.5., p
4.1. koos alapunktidega (registreerija üldkohustused –
üldnõuded), p 41 koos alapunktidega (isiku tuvastamise ja
isikusamasuse kontrollimise nõuded), p 5.3.6.
(domeeninime üleandmine); registrilepingu p 17 koos
alapunktidega (sanktsioonid).
Lause 2 – domeenireeglite p 12.12. ning seotud domeenireeglite
selgituste dokumendi punkt A10 lk-del 14–15; registrilepingu p
9.2. ja kaudsel ka p 19 (tingimuste muutmine).
Domeenireeglid on leitavad
https://www.internet.ee/domeenid/ee-domeenireeglid (sh lõpus
on ka 1.02.2025 jõustuvad domeenireeglid) ning selgitused,
kuidas saada .ee akrediteeritud registripidajaks on leitavad
https://www.internet.ee/registripidaja/kuidas-saada-ee-
akrediteeritud-registripidajaks.
Lõige 4 jah domeenireeglite p 3.4. koos alapunktidega (EIS WHOIS
päringuga avaldatavad andmed) ning p 8 koos alapunktidega
(isikuandmete töötlemine ja kaitse).
Lõige 5 jah Konkreetsed viited üle võtmise kohta:
Laused 1 ja 2 –
Domeenireeglite p 3.4. koos alapunktidega (EIS WHOIS
päringuga avaldatavad andmed) ning p 8 koos
alapunktidega (isikuandmete töötlemine ja kaitse;
ennekõike p-d 8.4. ja 8.6.).
Registrilepingu p 11 koos alapunktidega (isikuandmete
töötlemine, ennekõike p 11.5) ning registrilepingu lisa 4
(isikuandmete töötlemise nõuded).
Domeenireeglite selgituste dokumendi punkt A1 lk-del 4-
5, seotud p-d A8 ja A9 lk-ldel 13–14 ning ka p C3 lk-del
20–21.
Lause 3 - domeenireeglite p 12.12. Registrilepingu p 11.5. Seotud
on domeenireeglite selgituste dokumendi punkt A10 lk-del 14–
15 ning punkt C3 lk-del 20–21.
Lõige 6 jah domeenireeglite p 4.1.2; registrilepingu p 1 (määratleb pooled) ja
p-d 2.6.-2.8 (lepingu põhiprintsiibid) kui ka p-d 13 ja 14 koos
alapunktidega; domeenireeglite selgituste dokumendi p A3 lk-del
7–8.
Artikkel 29
Küberturvalisuse alase teabevahetuse
kokkulepped
Lõige 1 jah KüTS § 175 lg 1
Lõige 2 jah KüTS § 175 lg 1, 2 ja 3
Lõige 3 jah Laused 1 ja 4 – puudub vajadus üle võtmiseks
Lause 2–KüTS § 175 lg 3
Lause 3–KüTS § 175 lg 4
Lõige 4 jah KüTS § 175 lg 5
Lõige 5 ei
Artikkel 30
Vabatahtlik teavitamine asjakohasest teabest
Lõige 1 jah KüTS § 81 lg 1 punktid 1 ja 2.
Teemaga on seotud ka KüTS § 13 ja selle alusel antud määrus
ning nõrkustest teavitamise aspekt (vt KüTS § 5 lg 3 p 4 ja lg 8).
Lõige 2 jah Esimene tekstilõik, esimene lause – KüTS § 81 lg 3.
Esimene tekstilõik, teine lause – KüTS § 12 lg 32.
Teine tekstilõik, esimene lause – puudub üle võtmise vajadus,
kuna RIAl on CSIRTi, pädeva asutuse ja ühtse kontaktpunkti
ülesanded (KüTS § 5 lg 3 p 1 ja 3).
Teine tekstilõik, teine lause – puudub vajadus üle võtmiseks.
Artikkel 31
Järelevalve ja täitmise tagamise üldised aspektid
Lõige 1 jah KüTS-i 4. ja 5. peatükid
Lõige 2 valikuline - jah KüTS § 14 lg 6 punktid 1 ja 4
Lõige 3 jah KüTS § 174 lg 1 p 2
Lõige 4 jah Avaliku sektori üle toimub järelevalve KüTS-i 4. peatüki ja VVS
§-is 751 ja 752. Sõltumatuse teema on kaetud VVS § 93 lõikega
6.
8 / 15
Artikkel 32
Järelevalve- ja täitemeetmed seoses elutähtsate
üksustega
Lõige 1 valikuline - jah
Haldusmenetlus, sh riiklik järelevalve ja haldusjärelevalve:
KüTS § 14 lg 6 p 2 ja lg 7 sissejuhatav lause, HMS § 3 lg 2, §-id
4-6, § 54 ja § 107, KorS §-id 7 ja 8, ATSS § 3.
Väärteomenetluses tehtava väärteotrahvi puhul on asjakohased
sätted: KarS § 3 lg 4, § 47, § 56 lg 1 ja §-id 57-601, VTMS § 2
ning KrMS § 211 lg 2.
Lõige 2 jah Haldusmenetlus, sh riiklik järelevalve ja haldusjärelevalve
(HMS, KorS, VVS ja KüTSi viited) ning väärteomenetluse korral
(KarS, KrMS ja VTMS viited):
Esimene tekstilõik, sissejuhatav lause – KüTS § 14 lg 9
sissejuhatav lause; kaudselt seotud VTMS § 31 lg 1 ja KrMS §
64 lg 1.
Esimene tekstilõik, punkt a – HMS § 5 ja kaudselt § 6, KüTS §
14 lg 9 p 1 ja § 15 lg 1, KorS §-id 50 ja 51, VVS § 752 lg 1 p-id
3 ja 5. VTMS § 2, § 24 lg 1, § 31 lg 1 ja lg 11 ning § 35, KrMS §-
id 63, 68, 69, 692, 83, 86, 91, 911, 93, 95, 1091.
Esimene tekstilõik, punkt b – KüTS § 14 lg 9 p 2 ja lg 10 p-id 1
ning 2. VTMS § 2, § 24 lg 1, § 31 lg 1 ja lg 11 ning § 35, KrMS
§-id 63, 68, 69, 692, 83, 86, 91, 911, 93, 95, 1091.
Esimene tekstilõik, punkt c – KüTS § 14 lg 9 p 1. VTMS § 2, §
24 lg 1, § 31 lg 1 ja lg 11 ning § 35, KrMS §-id 63, 68, 69, 692,
83, 86, 91, 911, 93, 95, 1091.
Esimene tekstilõik, punkt d – KüTS § 14 lg 9 p 3 ja VVS § 752 lg
1 p 6, kuid olenevalt olukorrast on see kaetud ka KüTS § 15 lg 1,
KorS §-id 50 ja 51, VVS § 752 lg 1 p-id 3 ja 5. Kaudselt on ka
seotud KüTS § 16 lg 1 ja 2 ning § 17 lõiked 1 ja 2. VTMS § 2, §
24 lg 1, § 31 lg 1 ja lg 11 ning § 35, KrMS §-id 63, 68, 69, 692,
83, 86, 91, 911, 93, 95, 1091.
Esimene tekstilõik, punktid e, f ja g – KüTS § 15 lg 1, KorS § 30
lg-d 1 ja 3, VVS § 752 lg 1 p 1. VTMS § 31 lg 2.
Teine tekstilõik – KüTS § 14 lg 9 p 2. VTMS § 31 lg 2.
Kolmas tekstilõik – KüTS § 14 lg 10 p-id 3 ja 4. VTMS §-id 2,
38, § 502 lg 1 ning KrMSi 7. peatükk, ennekõike KrMS §-id 173
ja 174.
Lõige 3 jah Haldusmenetlus, sh riiklik järelevalve ja haldusjärelevalve
(HMS, KorS, VVS ja KüTSi viited) ning väärteomenetluse korral
(KarS, KrMS ja VTMS viited):
KüTS § 15 lg 1 ja 2; § 16 lg 1 ja 2, § 17 lg 1 ja 2; kaudselt on
seotud ka AvTS § 38 lg 31. VTMS § 48 lg 3 p 1 ning kaudselt ka
§ 31 lg 1 koosmõjus KrMS § 60 lõikega 2 ja §-ga 62.
Lõige 4 jah Haldusmenetlus, sh riiklik järelevalve ja haldusjärelevalve
(HMS, KorS, VVS ja KüTSi viited) ning väärteomenetluse korral
(KarS, KrMS ja VTMS viited):
Sissejuhatav lause - KüTS § 14 lg 9 sissejuhatav lause
Punkt a – KüTS § 14 lg 9 p 4; VVS § 751 lg 3 ja 4; KorS § 23 lg
4 ja § 28. VTMS § 31 lg 2 ja lg 3 p 1.
Punkt b – KüTS § 14 lg 9 p 5 ja lg 11; VVS § 751 lg 3 ja 4; KorS
§ 23 lg 4 ja § 28.
Punkt c – KüTS § 14 lg 9 p 5; VVS § 751 lg 3 ja 4; KorS § 23 lg
4 ja § 28.
Punkt d – KüTS § 14 lg 9 p 6; VVS § 751 lg 3 ja 4; KorS § 23 lg
4 ja § 28.
Punkt e – KüTS § 14 lg 9 p 7; VVS § 751 lg 3 ja 4; KorS § 23 lg
4 ja § 28.
Punkt f – KüTS § 14 lg 9 p 8; VVS § 751 lg 3 ja 4; KorS § 23 lg
4 ja § 28.
Punkt g – KüTS § 14 lg 9 p 10; VVS § 751 lg 3 ja 4; KorS § 23
lg 4 ja § 28.
Punkt h – KüTS § 14 lg 9 p 9; VVS § 751 lg 3 ja 4; KorS § 23 lg
4 ja § 28.
Punkt i – Eestis puuduvad haldustrahvid, mistõttu sarnaselt
isikuandmete kaitse üldmääruse põhjenduspunktile 151 viiakse
NIS2 direktiiviga ette nähtud haldustrahvi määramise menetlus
läbi väärteomenetluses. VTMS §-id 548-5412 (lühimenetlus), §-id
55-57 (kiirmenetlus) ning §-id 58-811 (üldmenetlus) ning vt ka
KüTS 5. peatükki.
Lõige 5 jah Haldusmenetlus, sh riiklik järelevalve ja haldusjärelevalve
(HMS, KorS, VVS ja KüTSi viited) ning väärteomenetluse korral
(KarS, KrMS ja VTMS viited):
Esimene tekstilõik, sissejuhatav osa – KüTS § 14 lg 12 ja lg 13
sissejuhatav osas
Esimene tekstilõik, punkt a – KüTS § 14 lg 13 p 1
9 / 15
Esimene tekstilõik, punkt b – KüTS § 14 lg 13 p 2
Teine tekstilõik – KüTS § 14 lg 14 p 1; nende punktide alusel
antud otsuseid või haldusakte või tehtavaid toiminguid on
võimalik vaidlustada otsuse või haldusakti andja või toimingu
tegija juures kui ka kohtus; toimingu all ei mõelda
menetlustoimingut (vt HMS § 106 lg 2).
Kolmas tekstilõik – KüTS § 14 lg 14 p 2.
Tekstis ette nähtud meetmed ei ole seotud haldustrahvidega,
mistõttu eraldi siin väärteomenetlusega seotud sätteid pole.
Lõige 6 jah Esimene tekstilõik, lause 1 – KüTS § 61 lg 1.
Esimene tekstilõik, lause 2 – KüTS § 184.
Teine tekstilõik - kaudselt on seotud ATS 8. peatükis sätestatud
ametniku distsiplinaarvastutusega.
Lõige 7 jah Haldusmenetlus, sh riiklik järelevalve ja haldusjärelevalve
(HMS, KorS, VVS ja KüTSi viited) ning väärteomenetluse korral
(KarS, KrMS ja VTMS viited):
Sissejuhatav tekst – KüTS § 14 lg 7 sissejuhatav lause, HMS §-
id 3, 4 ja kaudselt § 36, § 40, § 57 lg 1 (haldusakti
vaidlustamisviide), § 71 lg 1 (vaide esitamise õigus), § 87
(vaideotsuse edasi kaebamine), §-id 107–109 (toiminguga seotud
nõuded ja vaidlustamine), KorS § 9. VTMS §-id 2, 4, 5, 18, 19,
20, 22, KrMS § 7 lg 3, § 211 lg 2, KarS § 56 lg 1, § 57 ja 59.
Punkt a ja seotud alapunktid – KüTS § 14 lg 7 p 1 ja lg 8. KarS §
13, § 56 lg 1 ja kaudselt § 58.
Punkt b – KüTS § 14 lg 7 p 2. KrMS § 211 lg 2, KarS § 56 lg 1,
§ 57 lg 2, kaudselt § 58 ning § 81 lõiked 3 ja 4.
Punkt c – KüTS § 14 lg 7 p 3. KrMS § 211 lg 2, KarS § 56 lg 1.
Punkt d – KüTS § 14 lg 7 p 4 ja 5. KrMS § 211 lg 2, KarS 121, §
56 lg 1, § 57 lg 1 p-id 1 ja 2, § 58 p 8.
Punkt e – KüTS § 14 lg 7 p 6. KrMS § 211 lg 2, KarS § 13, § 15
lg 3, § 16-18, § 56 lg 1.
Punkt f – KüTS § 14 lg 7 p 7. KrMS § 211 lg 2, KarS § 56 lg 1.
Punkt g – KüTS § 14 lg 7 p 8. KrMS § 211 lg 2, KarS § 56 lg 1.
Punkt h – KüTS § 14 lg 7 p 9. KrMS § 211 lg 2, KarS § 56 lg 1,
VTMS § 2 koosmõjus KrMS § 7 p-ga 2.
Lõige 8 jah Haldusmenetlus, sh riiklik järelevalve ja haldusjärelevalve
(HMS, KorS, VVS ja KüTSi viited) ning väärteomenetluse korral
(KarS, KrMS ja VTMS viited):
Lause 1 – HMS § 14 lg 7 (taotluse rahuldamata jätmise
põhjendamine), § 56 (haldusakti põhjendamine), § 62 (haldusakti
teatavakstegemine), § 108 (toimingu põhjendamine; siin ei ole
mõeldud menetlustoimingut) ning KorS § 11 (korrakaitseorgani
selgitamiskohustus) ja § 12 lg 1 (riikliku järelevalve meetme
protokolli ärakirja andmine meetme adressaadile) ning kaudselt
seotud HMS 1. peatüki 7. jagu (dokumendi kättetoimetamine).
VTMS § 48 lg 1 p 1 ja lg 3 p 1 (määruse põhjendused), § 49 lg 4
p 1 (protokolli põhisisu), § 548 lg 1, lg 7 p 2, § 549 lg 1
(lühimenetluse sisu eeldab, et asjaolud on selged ja vaidlus
puudub), § 57 p-d 6-11 (kiirmenetluse otsus), § 69 lg 2
(üldmenetluses väärteoprotokoll), § 74 lg 1 p-d 5-11
(üldmenetluses lahend), § 75 lg-d 1 ja lg 2 p 1 (väärteomenetluse
lõpetamise määrus).
Laused 2 ja 3 – HMS § 17 (kutse menetlusosalisele), § 36
(haldusorgani selgitamiskohustus haldusakti andmisel), § 40
(menetlusosalise arvamuse ja vastuväidete ärakuulamine
haldusakti andmisel; art 32 lg 8 kolmanda lause lõpu osa katab
ennekõike HMS § 40 lg 3 p 1), §-id 46-50 (avatud menetluse
läbiviimine), KorS § 11 (korrakaitseorgani selgitamiskohustus)
ning kaudselt HMS § 6 (uurimispõhimõte), § 42
(menetlustoimingule ilmumata jätmine) ja § 107 lg 2 (toimingu
sooritamise viisi valik). VTMS § 2, 19 lg 1 p-id 4, 5 ja 6, § 31 lg
1, § 548 lg 1 p 2, lg 8, § 549 lg 2 p 4, § 57 lg 1, § 56, § 57 lg 1 p
81, § 65, § 69 lg 6, kaudselt ka KrMS § 211 lg 1.
Lõige 9 jah KüTS § 174 lg 2.
Lõige 10 jah Lause 1 – KüTS § 174 lg 1 punkt 6
Lause 2 – KüTS § 174 lg 3
Artikkel 33
Järelevalve- ja täitemeetmed seoses oluliste
üksustega
Lõige 1 jah Lause 1 – KüTS § 14 lg 6 p 3.
Lause 2 –
Haldusmenetlus, sh riiklik järelevalve ja haldusjärelevalve:
KüTS § 14 lg 7 sissejuhatav lause, HMS § 3 lg 2, §-id 4–6, § 54
ja § 107, KorS §-id 7 ja 8, ATSS § 3.
10 / 15
Väärteomenetluses tehtava väärteotrahvi puhul on asjakohased
sätted: KarS § 3 lg 4, § 47, § 56 lg 1 ja §-id 57–601, VTMS § 2
ning KrMS § 211 lg 2.
Lõige 2 jah Haldusmenetlus, sh riiklik järelevalve ja haldusjärelevalve
(HMS, KorS, VVS ja KüTSi viited) ning väärteomenetluse korral
(KarS, KrMS ja VTMS viited):
Esimene tekstilõik, sissejuhatav lause – KüTS § 14 lg 9
sissejuhatav lause; kaudselt seotud VTMS § 31 lg 1 ja KrMS §
64 lg 1.
Esimene tekstilõik, punkt a – HMS § 5 ja kaudselt § 6, KüTS §
14 lg 9 p 1 ja § 15 lg 1, KorS §-id 50 ja 51, VVS § 752 lg 1 p-id
3 ja 5. VTMS § 2, § 24 lg 1, § 31 lg 1 ja lg 11 ning § 35, KrMS §-
id 63, 68, 69, 692, 83, 86, 91, 911, 93, 95, 1091.
Esimene tekstilõik, punkt b – KüTS § 14 lg 9 p 2 ja lg 10 p-id 1
ning 2. VTMS § 2, § 24 lg 1, § 31 lg 1 ja lg 11 ning § 35, KrMS
§-id 63, 68, 69, 692, 83, 86, 91, 911, 93, 95, 1091.
Esimene tekstilõik, punkt c – KüTS § 14 lg 9 p 3 ja VVS § 752 lg
1 p 6, kuid olenevalt olukorrast on see kaetud ka KüTS § 15 lg 1,
KorS §-id 50 ja 51, VVS § 752 lg 1 p-id 3 ja 5. Kaudselt on ka
seotud KüTS § 16 lg 1 ja 2 ning § 17 lõiked 1 ja 2. VTMS § 2, §
24 lg 1, § 31 lg 1 ja lg 11 ning § 35, KrMS §-id 63, 68, 69, 692,
83, 86, 91, 911, 93, 95, 1091.
Esimene tekstilõik, punktid d, e ja f – KüTS § 15 lg 1, KorS § 30
lg-d 1 ja 3, VVS § 752 lg 1 p 1. VTMS § 31 lg 2.
Teine tekstilõik – KüTS § 14 lg 9 p 2. VTMS § 31 lg 2.
Kolmas tekstilõik – KüTS § 14 lg 10 p-id 3 ja 4. VTMS §-id 2,
38, § 502 lg 1 ning KrMSi 7. peatükk, ennekõike KrMS §-id 173
ja 174.
Lõige 3 jah Haldusmenetlus, sh riiklik järelevalve ja haldusjärelevalve
(HMS, KorS, VVS ja KüTSi viited) ning väärteomenetluse korral
(KarS, KrMS ja VTMS viited):
KüTS § 15 lg 1 ja 2; § 16 lg 1 ja 2, § 17 lg 1 ja 2; kaudselt on
seotud ka AvTS § 38 lg 31. VTMS § 48 lg 3 p 1 ning kaudselt ka
§ 31 lg 1 koosmõjus KrMS § 60 lõikega 2 ja §-ga 62.
Lõige 4 jah Haldusmenetlus, sh riiklik järelevalve ja haldusjärelevalve
(HMS, KorS, VVS ja KüTSi viited) ning väärteomenetluse korral
(KarS, KrMS ja VTMS viited):
Sissejuhatav lause – KüTS § 14 lg 9 sissejuhatav lause
Punkt a – KüTS § 14 lg 9 p 4; VVS § 751 lg 3 ja 4; KorS § 23 lg
4 ja § 28. VTMS § 31 lg 2 ja lg 3 p 1.
Punkt b – KüTS § 14 lg 9 p 5; VVS § 751 lg 3 ja 4; KorS § 23 lg
4 ja § 28.
Punkt c – KüTS § 14 lg 9 p 5; VVS § 751 lg 3 ja 4; KorS § 23 lg
4 ja § 28.
Punkt d – KüTS § 14 lg 9 p 6; VVS § 751 lg 3 ja 4; KorS § 23 lg
4 ja § 28.
Punkt e – KüTS § 14 lg 9 p 7; VVS § 751 lg 3 ja 4; KorS § 23 lg
4 ja § 28.
Punkt f – KüTS § 14 lg 9 p 8; VVS § 751 lg 3 ja 4; KorS § 23 lg
4 ja § 28.
Punkt g – KüTS § 14 lg 9 p 9; VVS § 751 lg 3 ja 4; KorS § 23 lg
4 ja § 28.
Punkt h – Eestis puuduvad haldustrahvid, mistõttu sarnaselt
isikuandmete kaitse üldmääruse põhjenduspunktile 151 viiakse
NIS2 direktiiviga ette nähtud haldustrahvi määramise menetlus
läbi väärteomenetluses. VTMS §-id 548-5412 (lühimenetlus), §-id
55-57 (kiirmenetlus) ning §-id 58-811 (üldmenetlus) ning vt ka
KüTS 5. peatükki.
Lõige 5 jah Vt NIS2 direktiivi artikli 32 lõigetes 6, 7 ja 8 kommentaare.
Lõige 6 jah Lause 1 – KüTS § 174 lg 1 punkt 6
Lause 2 – KüTS § 174 lg 3
Artikkel 34
Elutähtsatele ja olulistele üksustele
haldustrahvide määramise üldtingimused
Lõige 1 Jah Eestis puuduvad haldustrahvid, mistõttu sarnaselt isikuandmete
kaitse üldmääruse põhjenduspunktile 151 viiakse NIS2
direktiiviga ette nähtud haldustrahvi määramise menetlus läbi
väärteomenetluses. VTMS §-id 548–5412 (lühimenetlus), §-id 55–
57 (kiirmenetlus) ning §-id 58–811 (üldmenetlus) ning vt ka
KüTS 5. peatükki. Vt ka KarS § 3 lg 4, § 47, § 56 lg 1 ja §-id 57–
601, VTMS § 2 ning KrMS § 211 lg 2.
11 / 15
Lõige 2 jah Puudub vajadus eraldi sätestamiseks, kuna väärteomenetluses
tehtud trahv ei välista riikliku või haldusjärelevalve toimumist
ning nendes järelevalve meetmete võtmist.
Lõige 3 jah Vt NIS2 direktiivi artikli 32 lõike 7 kommentaare
Lõige 4 jah KüTS § 182 lg 1 ja 2
Lõige 5 jah KüTS § 183 lg 1 ja 2
Lõige 6 jah KüTS § 171
Lõige 7 valikuline - ei KarS § 14 lg 4 kohaselt ei määrata Eestis väärteotrahve riigile,
riikidevahelisele organisatsioonile, kohaliku omavalitsuse
üksusele ja avalik-õiguslikule juriidilisele isikule.
Lõige 8 jah Vt NIS2 direktiivi artikli 34 lõike 1 kommentaare.
Artikkel 35
Isikuandmete väärkasutamisega seotud
rikkumised
Lõige 1 jah KüTS § 19 lg 2 ja § 174 lg 1 p 2 ning KüTS § 13 lg 3 alusel vastu
võetud “Küberintsidentide registri põhimääruse” § 9 lg 3 p 2.
Lõige 2 jah KüTS § 19 lg 2 ja KarS § 2 lg 3.
Lõige 3 jah KüTS § 174 lg 1 punkt 2 ja § 19 lg 2 ning KüTS § 13 lg 3 alusel
vastu võetud „Küberintsidentide registri põhimääruse“ § 9 lg 3 p
2. Teave, kes on määruse (EL) 2016/679 kohane
järelevalveasutus, peab olema leitav üksuse nn
privaatsuspoliitikast.
Artikkel 36
Karistused
Üks tekstilõik jah KüTS § 184
Artikkel 37
Vastastikune abi
Lõige 1 jah Esimene tekstilõik, esimene lause – KüTS § 173 lg 1.
Esimene tekstilõik, punkt a – KüTS § 173 lg 1 ja kaudselt § 174
lg 1 p 10 ning lg 5.
Esimene tekstilõik, punkt b – KüTS § 173 lg 2 ja lg 3.
Esimene tekstilõik, punkt c – KüTS § 173 lg 2.
Teine tekstilõik, lause 1 – KüTS § 173 lg 2.
Teine tekstilõik, lause 2 – KüTS § 173 lg 4.
Teine tekstilõik, lause 3 – KüTS § 173 lg 5.
Lõige 2 jah KüTS § 173 lg 6.
Artikkel 38
Delegeeritud volituste rakendamine
Lõige 1 ei
Lõige 2 ei
Lõige 3 ei
Lõige 4 ei
Lõige 5 ei
Lõige 6 ei
Artikkel 39
Komiteemenetlus
Lõige 1 ei
Lõige 2 ei
Lõige 3 ei
Artikkel 40
Läbivaatamine
Üks tekstilõik ei
Artikkel 41
Ülevõtmine
Lõige 1 ei Säte ei vaja ülevõtmist
Lõige 2 ei Säte ei vaja ülevõtmist
Artikkel 42
Määruse (EL) nr 910/2014 muutmine
Üks tekstilõik jah EUTS § 4 tunnistatakse kehtetuks.
Artikkel 43
Direktiivi (EL) 2018/1972 muutmine
Üks tekstilõik jah ESS §-id 872, 133 lg 5, § 1701 ja § 188 lg 8 tunnistatakse
kehtetuks
Artikkel 44
Kehtetuks tunnistamine
Kaks tekstilõiku ei
Artikkel 45
Jõustumine
Üks tekstilõik ei
Artikkel 46
Adressaadid
Üks tekstilõik ei säte ei vaja ülevõtmist.
LISAD
12 / 15
LISA I – KRIITILISE TÄHTSUSEGA
SEKTORID
1. Energeetika
a) Elekter
— Euroopa Parlamendi ja nõukogu direktiivi
(EL) 2019/944 artikli 2 punktis 57 määratletud
elektriettevõtjad, kes täidavad nimetatud direktiivi
artikli 2 punktis 12 määratletud tarnimise ülesannet
— Direktiivi (EL) 2019/944 artikli 2 punktis 29
määratletud jaotusvõrguettevõtjad
— Direktiivi (EL) 2019/944 artikli 2 punktis 35
määratletud põhivõrguettevõtjad
— Direktiivi (EL) 2019/944 artikli 2 punktis 38
määratletud tootjad
— Euroopa Parlamendi ja nõukogu määruse (EL)
2019/943 artikli 2 punktis 8 määratletud määratud
elektriturukorraldajad
— Määruse (EL) 2019/943 artikli 2 punktis 25
määratletud turuosalised, kes osutavad direktiivi
(EL) 2019/944 artikli 2 punktides 18, 20 ja 59
määratletud agregeerimis-, tarbimiskaja- või
energia salvestamise teenuseid
— laadimispunkti käitajad, kes vastutavad sellise
laadimispunkti haldamise ja käitamise eest, mis
osutab lõppkasutajatele laadimisteenust, sealhulgas
liikuvusteenuse osutaja nimel ja eest
jah - KüTS § 1 lg 12 punkt 1
- KüTS § 1 lg 12 punkt 2
- KüTS § 1 lg 12 punkt 3
- KüTS § 1 lg 12 punkt 4
- KüTS § 1 lg 12 punkt 5
- KüTS § 1 lg 12 punkt 6
- KüTS § 1 lg 12 punkt 7
b) Kaugküte ja-jahutus
— Euroopa Parlamendi ja nõukogu direktiivi (EL)
2018/2001 artikli 2 punktis 19 määratletud
kaugkütte ja kaugjahutuse pakkujad
jah - KüTS § 1 lg 12 punkt 8
c) Nafta
— Naftajuhtmete operaatorid
— Nafta tootmise, rafineerimise ja töötlemise
rajatiste ning hoiustamise ja ülekandmisega
tegelevad operaatorid
— Nõukogu direktiivi 2009/119/EÜ artikli 2
punktis f määratletud varude säilitamise
kesküksused
jah - kuna Eestis puuduvad naftajuhtmete operaatorid, siis nimetatud
osa üle ei võeta.
- KüTS § 1 lg 12 punkt 9
- varude säilitamise kesküksus – nimetatud ülesande täitja on
Eesti Varude Keskus, kes hõlmatakse KüTSi alla tervikuna KüTS
§ 1 lg 15 p 3 alusel.
d) Gaas
— Euroopa Parlamendi ja nõukogu direktiivi
2009/73/EÜ artikli 2 punktis 8 määratletud
tarneettevõtjad
— Direktiivi 2009/73/EÜ artikli 2 punktis 6
määratletud jaotussüsteemi haldurid
— Direktiivi 2009/73/EÜ artikli 2 punktis 4
määratletud ülekandesüsteemi haldurid
— Direktiivi 2009/73/EÜ artikli 2 punktis 10
määratletud hoidlatevõrgu haldurid
— Direktiivi 2009/73/EÜ artikli 2 punktis 12
määratletud maagaasi veeldusjaamade haldurid
— Direktiivi 2009/73/EÜ artikli 2 punktis 1
määratletud maagaasiettevõtjad
— Maagaasi rafineerimise ja töötlemise rajatiste
haldurid
jah - KüTS § 1 lg 12 punkt 10
- KüTS § 1 lg 12 punkt 11
- KüTS § 1 lg 12 punkt 12
- KüTS § 1 lg 12 punkt 13
- KüTS § 1 lg 12 punkt 14
- KüTS § 1 lg 12 punkt 15
- KüTS § 1 lg 12 punkt 16
e) Vesinik
— Vesiniku tootmise, hoiustamise ja
ülekandmisega tegelevad operaatorid
jah - KüTS § 1 lg 12 punkt 17
2. Transport
a) Lennutransport
— Kommertsvaldkonnas tegutsevad määruse (EÜ)
nr 300/2008 artikli 3 punktis 4 määratletud
lennuettevõtjad
— Euroopa Parlamendi ja nõukogu direktiivi
2009/12/EÜ artikli 2 punktis 2 määratletud
lennujaama juhtorganid, nimetatud direktiivi artikli
2 punktis 1 määratletud lennujaamad, sealhulgas
Euroopa Parlamendi ja nõukogu määruse (EL) nr
1315/2013 II lisa 2. jaos loetletud põhivõrgu
lennujaamad ning lennujaamades olevaid
abirajatisi käitavad üksused
— Euroopa Parlamendi ja nõukogu määruse (EÜ)
nr 549/2004 artikli 2 punktis 1 määratletud
lennujuhtimise teenust osutavad
liikluskorraldusettevõtjad
jah - KüTS § 1 lg 12 punkt 18
- KüTS § 1 lg 12 punkt 19
- KüTS § 1 lg 12 punkt 20
b) Raudteetransport
13 / 15
— Euroopa Parlamendi ja nõukogu direktiivi
2012/34/EL artikli 3 punktis 2 määratletud
raudteeinfrastruktuuri-ettevõtjad
— Direktiivi 2012/34/EL artikli 3 punktis [1]
määratletud raudteeveo-ettevõtjad, sealhulgas
nimetatud direktiivi artikli 3 punktis 12 määratletud
teenindusrajatiste käitajad
jah - KüTS § 1 lg 12 punkt 21
- KüTS § 1 lg 12 punkt 21
c) Veetransport
— Euroopa Parlamendi ja nõukogu määruse (EÜ)
nr 725/2004 I lisas meretranspordi puhul
määratletud reisijate ja kauba vedamisega
sisevetes, merel ja rannavetes tegelevad ettevõtjad,
välja arvatud kõnealuste ettevõtjate käidatud
üksikud laevad
— Euroopa Parlamendi ja nõukogu direktiivi
2005/65/EÜ artikli 3 punktis 1 määratletud
sadamate valdajad, sealhulgas nende määruse (EÜ)
nr 725/2004 artikli 2 punktis 11 määratletud
sadamarajatised ning sadamates tööde ja varustuse
haldamisega tegelevad üksused
— Euroopa Parlamendi ja nõukogu direktiivi
2002/59/EÜ artikli 3 punktis o määratletud
laevaliikluse juhtimise keskuste (VTS) operaatorid
jah - KüTS § 1 lg 12 punkt 22
- KüTS § 1 lg 12 punkt 23
- KüTS § 1 lg 12 punkt 24
d) Maanteetransport
— Komisjoni delegeeritud määruse (EL) 2015/962
artikli 2 punktis 12 määratletud maanteeametid, kes
vastutavad liikluskorralduse eest, välja arvatud
avaliku sektori üksused, kelle jaoks liikluskorraldus
või intelligentsete transpordisüsteemide käitamine
moodustab üksnes väheolulise osa nende
tegevusest
— Euroopa Parlamendi ja nõukogu direktiivi
2010/40/EL artikli 4 punktis 1 määratletud
intelligentsete transpordisüsteemide operaatorid
jah - mainitud delegeeritud määruse kohaselt maanteeameti
ülesannet täidab Transpordiamet, mis on juba kaetud subjektina
terve oma ülesannete ulatuses ehk seda pole vaja eraldi nimetada
- KüTS § 1 lg 12 punkt 25
3. Pangandus
— Euroopa Parlamendi ja nõukogu määruse (EL)
nr 575/2013 artikli 4 punktis 1 määratletud
krediidiasutused
jah - KüTS § 1 lg 12 punkt 26
4. Finantsturutaristud
— Euroopa Parlamendi ja nõukogu direktiivi
2014/65/EL artikli 4 punktis 24 määratletud
kauplemiskohtade korraldajad
— Euroopa Parlamendi ja nõukogu määruse (EL)
nr 648/2012 artikli 2 punktis 1 määratletud kesksed
vastaspooled
jah - KüTS § 1 lg 12 punkt 27
- KüTS § 1 lg 12 punkt 28
5. Tervishoid
— Euroopa Parlamendi ja nõukogu direktiivi
2011/24/EL artikli 3 punktis g määratletud
tervishoiuteenuse osutajad
— Euroopa Parlamendi ja nõukogu määruse (EL)
2022/2371 artiklis 15 määratletud ELi
referentlaborid
— Üksused, mis tegelevad Euroopa Parlamendi ja
nõukogu direktiivi 2001/83/EÜ artikli 1 punktis 2
määratletud ravimite uurimise ja arendamisega
— NACE Rev. 2 C jao jaotises 21 osutatud
põhifarmaatsiatooteid ja ravimpreparaate tootvad
üksused
— Üksused, mis toodavad rahvatervise
hädaolukorras kriitilise tähtsusega
meditsiiniseadmeid (rahvatervise hädaolukorra
esmatähtsate meditsiiniseadmete loetelu) Euroopa
Parlamendi ja nõukogu määruse (EL) 2022/123
artikli 22 tähenduses
jah - tervishoiuteenuse osutajate osas: need on hõlmatud KüTS § 1
lg 13 p 8 ja lg 15 p 9.
- EL referentlaborite osas – selle kohta on eraldi
rakendusmäärus, milles ei ole Eesti referentlaboreid nimetatud.
Seetõttu puudub vajadus nende nimetamiseks KüTSis.
- KüTS § 1 lg 12 punkt 29
- KüTS § 1 lg 12 punkt 30
- KüTS § 1 lg 12 punkt 31
6. Joogivesi
— Euroopa Parlamendi ja nõukogu direktiivi (EL)
2020/2184 artikli 2 punkti 1 alapunktis a
määratletud olmeveega varustajad ja olmevee
jaotajad, välja arvatud jaotajad, kelle puhul
olmevee jaotamine on väheoluline osa nende
üldisest muude tarbekaupade ja kaupade
tarnimistegevusest
jah - KüTS § 1 lg 12 punkt 32
7. Reovesi
— Ettevõtjad, kes tegelevad nõukogu direktiivi
91/271/EMÜ artikli 2 punktides 1, 2 ja 3
jah - KüTS § 1 lg 12 punkt 33
14 / 15
määratletud asulareovee, olmereovee või
tööstusreovee kogumise, ärajuhtimise või
puhastamisega, välja arvatud ettevõtjad, kelle puhul
asulareovee, olmereovee või tööstusreovee
kogumine, ärajuhtimine või puhastamine on
väheoluline osa nende üldisest tegevusest
8. Digitaristu
— Interneti vahetuspunkti teenuse osutajad
— Domeeninimesüsteemide süsteemi teenuse
osutajad, välja arvatud juurnimeserverite
operaatorid
— Tippdomeeninimede registrite pidajad
— Pilvandmetöötlusteenuse osutajad
— Andmekeskusteenuse osutajad
— Sisulevivõrguteenuse osutajad
— Usaldusteenuse osutajad
— Üldkasutatavale elektroonilise side võrkude
pakkujad
— Üldkasutatavate elektroonilise side teenuste
osutajad
jah - KüTS § 1 lg 12 punkt 34; vt ka KüTS § 2 punkti 41
- KüTS § 1 lg 12 punkt 35; vt ka KüTS § 2 punkti 43
- KüTS § 1 lg 13 punkt 4; vt ka KüTS § 2 punkti 44
- KüTS § 1 lg 12 punkt 36; vt ka KüTS § 2 punkti 7
- KüTS § 1 lg 12 punkt 37; vt ka KüTS § 2 punkti 71
- KüTS § 1 lg 12 punkt 38; vt ka KüTS § 2 punkti 72
- KüTS § 1 lg 13 punkt 3; vt ka KüTS § 2 punkti 46
- KüTS § 1 lg 13 punkt 1; vt ka KüTS § 2 punkti 9
- KüTS § 1 lg 13 punkt 2; vt ka KüTS § 2 punkti 10
9. IKT-teenuste haldamine (ettevõtetevaheline)
— Hallatud teenuse osutajad
— Turbetarnijad
jah - KüTS § 1 lg 12 punkt 39; vt ka KüTS § 2 punkti 11
- KüTS § 1 lg 12 punkt 40; vt ka KüTS § 2 punkti 12
10. Avaliku halduse üksused
— Keskvalitsuste avaliku halduse üksused, nagu
need on kindlaks määranud liikmesriik vastavalt
oma õigusele
— Piirkondade avaliku halduse üksused, nagu need
on kindlaks määranud liikmesriik vastavalt oma
õigusele
jah - KüTS § 1 lg 13 punkt 7
- piirkondliku tasandi üksus – kuna Eestis sellele vastavaid
üksusi pole, siis seda üle ei võeta
11. Kosmos
— Liikmesriigi või eraõiguslike isikute omandis
olevate, hallatavate või käitatavate maapealsete
taristute operaatorid, kes toetavad kosmosepõhiste
teenuste osutamist, välja arvatud elektroonilise side
võrkude pakkujad
jah - KüTS § 1 lg 13 punkt 41
LISA II – MUUD KRIITILISE TÄHTSUSEGA
SEKTORID
1. Posti- ja kulleriteenused
— Direktiivi 97/67/EÜ artikli 2 punktis 1a
määratletud postiteenuste osutajad, sealhulgas
kulleriteenuste osutajad
jah - KüTS § 1 lg 13 punkt 42
2. Jäätmekäitlus
— Ettevõtjad, kes tegelevad Euroopa Parlamendi ja
nõukogu direktiivi 2008/98/EÜ artikli 3 punktis 9
määratletud jäätmekäitlusega, välja arvatud
ettevõtjad, kelle põhitegevus ei ole jäätmekäitlus
jah - KüTS § 1 lg 13 punkt 43
3. Kemikaalide valmistamine, tootmine ja
levitamine
— Ettevõtjad, kes tegelevad Euroopa Parlamendi ja
nõukogu määruse (EÜ) nr 1907/2006 artikli 3
punktides 9 ja 14 osutatud ainete valmistamisega
ning ainete või segude levitamisega, ning
ettevõtjad, kes toodavad ainetest või segudest
kõnealuse määruse artikli 3 punktis 3 määratletud
tooteid
jah - KüTS § 1 lg 13 punkt 44
4. Toiduainete tootmine, töötlemine ja turustamine
— Euroopa Parlamendi ja nõukogu määruse (EÜ)
nr 178/2002 artikli 3 punktis 2 määratletud
toidukäitlemisettevõtjad, kes tegelevad hulgimüügi
ning tööstusliku tootmise ja töötlemisega
jah - KüTS § 1 lg 13 punkt 45
5. Töötlev tööstus
a) Meditsiiniseadmete ja in vitro
diagnostikameditsiiniseadmete tootmine
— Euroopa Parlamendi ja nõukogu määruse
(EL) 2017/745 artikli 2 punktis 1 määratletud
meditsiiniseadmeid tootvad üksused ning Euroopa
Parlamendi ja nõukogu määruse
(EL) 2017/746 artikli 2 punktis 2 määratletud in
vitro diagnostikameditsiiniseadmeid tootvad
üksused, välja arvatud käesoleva direktiivi I lisa
punkti 5 viiendas taandes osutatud
meditsiiniseadmeid tootvad üksused
jah - KüTS § 1 lg 13 punkt 46
15 / 15
b) Arvutite, elektroonika- ja optikaseadmete
tootmine
— Ettevõtjad, kes tegelevad NACE Rev. 2 C jao
jaotises 26 osutatud majandustegevusega
jah - KüTS § 1 lg 13 punkt 47
c) Elektriseadmete tootmine
— Ettevõtjad, kes tegelevad NACE Rev. 2 C jao
jaotises 27 osutatud majandustegevusega
jah - KüTS § 1 lg 13 punkt 47
d) Mujal liigitamata masinate ja seadmete tootmine
— Ettevõtjad, kes tegelevad NACE Rev. 2 C jao
jaotises 28 osutatud majandustegevusega
jah - KüTS § 1 lg 13 punkt 47
e) Mootorsõidukite, haagiste ja poolhaagiste
tootmine
— Ettevõtjad, kes tegelevad NACE Rev. 2 C jao
jaotises 29 osutatud majandustegevusega
jah - KüTS § 1 lg 13 punkt 47
f) Muude transpordivahendite tootmine
— Ettevõtjad, kes tegelevad NACE Rev. 2 C jao
jaotises 30 osutatud majandustegevusega
jah - KüTS § 1 lg 13 punkt 47
6. Digiteenuste osutajad
— Internetipõhiste kauplemiskohtade pakkujad
— Internetipõhiste otsingumootorite pakkujad
— Sotsiaalvõrguteenuse platvormide pakkujad
jah - KüTS § 1 lg 13 punkt 48; vt ka KüTS § 2 punkti 5
- KüTS § 1 lg 13 punkt 49; vt ka KüTS § 2 punkti 6
- KüTS § 1 lg 13 punkt 50
7. Teadustegevus
— Teadusasutused jah - KüTS § 1 lg 13 punkt 51
Küberturvalisuse seaduse ja teiste seaduste
muutmise seadus (küberturvalisuse 2. direktiivi
ülevõtmine) eelnõu seletuskirja
Lisa 2
KAVAND
VABARIIGI VALITSUS
MÄÄRUS
Täiendava valdkonna ja sektori määramine, milles tegutseva
üksuse osas kohaldatakse küberturvalisuse seaduse nõudeid
Määrus kehtestatakse küberturvalisuse seaduse § 1 lõike 16 ja § 3 lõike 14 alusel.
§ 1. Määruse reguleerimisala
(1) Käesoleva määrusega sätestatakse valdkonnad ja sektorid, milles tegutsevale üksusele
kohaldatakse küberturvalisuse seaduses teenuse osutaja kohta sätestatut, kui üksus olenemata
suurusest vastab vähemalt ühele järgmisele tingimusele:
1) ta on sellise teenuse ainuosutaja, mis on kriitilise tähtsusega ühiskondliku või
majandustegevuse säilitamiseks;
2) tema osutatava teenuse häirel võib olla oluline mõju avalikule turvalisusele, avalikule
julgeolekule või rahva tervisele;
3) tema osutatava teenuse häire võib tuua kaasa olulise süsteemse riski, eelkõige sektorites, kus
sellisel häirel võib olla piiriülene mõju;
4) ta on kriitilise tähtsusega oma erilise olulisuse tõttu riiklikul või piirkondlikul tasandil
konkreetse sektori või teenuseliigi või riigi muude üksteisest sõltuvate sektorite jaoks.
(2) Lisaks lõikele 1 määratletakse vastav üksus kas elutähtsa üksuse või olulise üksusena.
§ 2. Valdkondade ja sektorite määramine
1)
2)
§ 3. Elutähtsa üksuse ja olulise üksuse määratlemine
(1) Elutähtsad üksused on:
1)
2)
(2) Olulised üksused on:
1)
2)
Kristen Michal
Peaminister
Liisa-Ly Pakosta
Justiits- ja digiminister
Taimar Peterkop
Riigisekretär
KAVAND
VABARIIGI VALITSUS
MÄÄRUS
Euroopa küberturvalisuse sertifitseerimise kavas oleva IKT-toote, IKT-teenuse ja IKT-
protsessi järgimise kohustuse kehtestamine
Määrus kehtestatakse küberturvalisuse seaduse § 133 lõike 1 ja 2 alusel.
§ 1. Määruse reguleerimisala
(1) Käesoleva määrusega kehtestatakse Euroopa küberturvalisuse sertifitseerimise kavas oleva
IKT-toote, IKT-teenuse ja IKT-protsessi järgimise kohustuse sisu, ulatus, täitmise tähtaeg ja
täpsemad nõuded küberturvalisuse seaduse §-s 7 sätestatud turvameetmete vastavuse
tõendamiseks.
(2) Määruses nähakse ette teenuse osutaja, kellele kohaldatakse lõikes 1 sätestatut.
§ 2. IKT-tooted
§ 3. IKT-teenused
§ 4. IKT-protsessid
§ 5. Teenuse osutaja
§ 6. Kohustuse sisu
§ 7. Kohustuse ulatus
§ 8. Kohustuse täitmise tähtaeg
§ 9. Täpsemad nõuded
Kristen Michal
Peaminister
Liisa-Ly Pakosta
Justiits- ja digiminister
Taimar Peterkop
Riigisekretär
KAVAND
VABARIIGI VALITSUS
MÄÄRUS
Vabariigi Valitsuse 9. detsembri 2022. a
määruse nr 121 „Võrgu- ja infosüsteemide
küberturvalisuse nõuded“ muutmine
Määrus kehtestatakse küberturvalisuse seaduse § 7 lõike 5 alusel.
§ 1. Vabariigi Valitsuse 9. detsembri 2022. a määruses nr 121 „Võrgu- ja infosüsteemide
küberturvalisuse nõuded“ tehakse järgmised muudatused:
1) paragrahvi 4 täiendatakse lõikega 11 järgmises sõnastuses:
„(11) Elutähtsa teenuse osutaja peab lõikes 1 sätestatud kohustuse täitma hädaolukorra seaduse
§ 38 lõike 13 punktis 3 sätestatud korras määratud tähtaja jooksul.“;
2) paragrahvi 14 täiendatakse lõigetega 3 ja 4 järgmises sõnastuses:
„(3) Teenuse osutaja, kellel tekkis käesoleva määruse nõuete järgmise kohustus pärast 18.
oktoobrit 2024. a, peab käesoleva määruse § 3 lõikes 1 või 2 ja § 4 lõikes 1 sätestatud nõude
täitma kolme aasta jooksul kohustuse tekkimisest arvates.
(4) Elutähtsa teenuse osutaja, kellel tekkis esmakordselt käesoleva määruse järgimise kohustus
pärast 18. oktoobrit 2024. a, peab käesoleva määruse § 3 lõikes 1 või 2 ja § 4 lõikes 1 sätestatud
nõude täitma hädaolukorra seaduse § 38 lõike 13 punktis 3 sätestatud korras määratud tähtaja
jooksul.“.
§ 2. Määrus jõustub 1. juulil 2025. a.
Kristen Michal
Peaminister
Liisa-Ly Pakosta
Justiits- ja digiminister
Taimar Peterkop
Riigisekretär
KAVAND
VABARIIGI VALITSUS
MÄÄRUS
Vabariigi Valitsuse 3. jaanuari 2024. a määruse nr 1 „Võrgu- ja infosüsteemi
turvameetmete nõuded ja nende kohaldamise ulatus pilvteenuse kasutamisel“ muutmine
Määrus kehtestatakse avaliku teabe seaduse § 43 lõike 3 ja küberturvalisuse seaduse § 7 lõike
5 punkti 3 alusel.
§ 1. Vabariigi Valitsuse 3. jaanuari 2024. a määruse nr 1 „Võrgu- ja infosüsteemi turvameetmete
nõuded ja nende kohaldamise ulatus pilvteenuse kasutamisel“ § 1 lõike 1 punktis 1 asendatakse
tekstiosa „kohaliku omavalitsuse üksus või küberturvalisuse seaduse § 3 lõike 4 punktides 12
ja 13 nimetatud asutus või isik“ tekstiosaga „valitsusasutus, valitsusasutuse hallatava riigiasutus
või kohaliku tasandi avaliku halduse üksus“.
§ 2. Määrus jõustub 1. juulil 2025. a.
Kristen Michal
Peaminister
Liisa-Ly Pakosta
Justiits- ja digiminister
Taimar Peterkop
Riigisekretär
KAVAND
JUSTIITS- JA DIGIMINISTER
MÄÄRUS
Majandus- ja infotehnoloogiaministri 17. oktoobri 2023
määruse nr 53 „Küberintsidentide registri põhimäärus“ muutmine
Määrus kehtestatakse küberturvalisuse seaduse § 13 lõike 3 alusel.
§ 1. Majandus- ja infotehnoloogiaministri 17. oktoobri 2023 määruses nr 53 „Küberintsidentide
registri põhimäärus“ tehakse järgmised muudatused:
1) paragrahvi 5 lõike 1 punkti 1 ja lõike 2 punkti 1 täiendatakse pärast sõna „küberintsidendist“
sõnadega „, küberohust või nõrkusest“;
2) paragrahvi 5 lõike 1 punkti 1 ja punkti 8 täiendatakse pärast sõna „küberintsidendi“ sõnadega
„, küberõhu või nõrkuse“;
3) paragrahvi 5 lõike 1 punkti 4 ja punkti 8 täiendatakse pärast sõna „küberintsident“ sõnadega
„, küberoht või nõrkus“;
4) paragrahvi 5 lõike 2 punkti 2 täiendatakse pärast sõna „küberintsidenti“ sõnaga „, küberohtu
või nõrkust“;
5) paragrahvi 5 lõike 2 punkt 6 sõnastatakse järgmiselt:
„3) küberintsidendist, küberohust ja nõrkusest teavitamise kohustuseta isik, kes teavitas
küberintsidendist, küberohust või nõrkusest vastutavat töötlejat.“.
§ 2. Määrus jõustub 1. juulil 2025. a.
Liisa-Ly Pakosta
minister
Tõnis Saar
kantsler
KAVAND
JUSTIITS- JA DIGIMINISTER
MÄÄRUS
Võrgu- ja infosüsteemi pidamise ja küberintsidendist
teavitamise nõuete järgimise ulatuse ning tingimuste erisuste kehtestamine
Määrus kehtestatakse küberturvalisuse seaduse § 1 lõike 41 alusel.
§ 1. Määruse reguleerimisala
Määrusega sätestatakse võrgu- ja infosüsteemi pidamise ning küberintsidendist teavitamise
nõuete erisused, kui nõue on samaväärselt reguleeritud välislepinguga, Euroopa Liidu
õigusaktiga või muu seadusega.
§ 2. Finantssektori erisused
Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554, mis käsitleb finantssektori
digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ) nr 1060/2009, (EL) nr
648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (ELT L 333, 27.12.2022, lk
1—79), artikli 2 lõikes 1 nimetatud üksusele ei kohaldata küberturvalisuse seaduse §-des 7 ja 8
sätestatut.
§ 3. Lennundussektori erisused
Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 300/2008, mis käsitleb
tsiviillennundusjulgestuse ühiseeskirju ja millega tunnistatakse kehtetuks määrus (EÜ) nr
2320/2002 (ELT L 97, 9.4.2008, lk 72—84) ning Euroopa parlamendi ja nõukogu määruse (EL)
2018/1139, mis käsitleb tsiviillennunduse valdkonna ühisnorme ja millega luuakse Euroopa
Liidu Lennundusohutusamet ning millega muudetakse Euroopa Parlamendi ja nõukogu määrusi
(EÜ) nr 2111/2005, (EÜ) nr 1008/2008, (EL) nr 996/2010, (EL) nr 376/2014 ja Euroopa
Parlamendi ja nõukogu direktiive 2014/30/EL ning 2014/53/EL ning tunnistatakse kehtetuks
Euroopa Parlamendi ja nõukogu määrused (EÜ) nr 552/2004 ja (EÜ) nr 216/2008 ning nõukogu
määrus (EMÜ) nr 3922/91 (ELT L 212, 22.8.2018, lk 1—122), kohaldamisalas olevale üksusele
ei kohaldata küberturvalisuse seaduse §-des 7 ja 8 sätestatut.
§ 4. Määruse jõustumine
Määrus jõustub 1. juulil 2025. a.
Liisa-Ly Pakosta
minister
Tõnis Saar
kantsler
KAVAND
KLIIMAMINISTER
MÄÄRUS
Majandus- ja taristuministri 28.06.2018 määruse nr 37 „Elutähtsa teenuse kirjeldus ja
toimepidevuse nõuded elektriga varustamisel“ muutmine
Määrus kehtestatakse hädaolukorra seaduse § 37 lõike 2 alusel.
§ 1. Majandus- ja taristuministri 28.06.2018 määruse nr 37 „Elutähtsa teenuse kirjeldus ja
toimepidevuse nõuded elektriga varustamisel“ § 4 lõike 2 punkti 3 täiendatakse pärast sõna
„seaduses“ lauseosaga „või asjakohasel juhul Euroopa Komisjoni delegeeritud määruses (EL)
2024/1366, millega täiendatakse Euroopa Parlamendi ja nõukogu määrust (EL) 2019/943 ning
kehtestatakse võrgueeskiri piiriüleste elektrivoogude küberturvalisust käsitlevate sektoripõhiste
normide kohta,“.
§ 2. Määrus jõustub 1. juulil 2025. a.
Yoko Alender
minister
Keit Kasemets
kantsler