Arvamuse edastamine

Sakala 4, Tallinn 15030 Eesti / Estonia T: +372 668 0500 E: [email protected] www.fi.ee

Lp Liisa-Ly Pakosta Justiits- ja Digiministeerium Suur-Ameerika 1 10122 TALLINN [email protected]

Teie 09.12.2024 nr 2-2/3131-1 Meie 28.01.2025 nr 5-8/6699-2

Küberturvalisuse seaduse ja teiste seaduste muutmise seaduse eelnõu (küberturvalisuse 2. direktiivi ülevõtmine)

Majandus- ja Kommunikatsiooniministeerium edastas 09.12.2024 Finantsinspektsioonile Küberturvalisuse seaduse (edaspidi KüTS) ja teiste seaduste muutmise seaduse eelnõu (edaspidi Eelnõu) arvamuse avaldamiseks. Tagasisidet paluti esitada Justiits- ja Digiministeeriumile. Edastame Finantsinspektsiooni tähelepanekud Eelnõu kohta. KüTS-i kohaldumine ja mõju FI-le

1. Kehtiva KüTS § 3 lõike 4 punkti 3 kohaselt kohaldatakse KüTS-is teenuse osutaja kohta sätestatut Eesti Pangale. Finantsinspektsiooni ei ole KüTS § 3 lõikes 4 nimetatud. Eelnõu § 1 punktiga 20 tunnistatakse viidatud lõige kehtetuks, kuna kehtetuks tunnistatava lõike punktide sisu on viidud Eelnõuga KüTS § 1 lõike 13 punkti 7 (KüTS-i kohaldatakse keskvalitsuse avaliku halduse üksusele) kui ka lõikesse 15. Eelnõu § 1 punktiga 7 täiendatakse KüTS §-i 2 muu hulgas punktiga 12, mille kohaselt keskvalitsuse avaliku halduse üksus on üksuse üldnimetus, mille puhul on mõeldud üksustest Eesti Panka (edaspidi EP), Finantsinspektsiooni, kohtuasutust, riigi valimisteenistust, Riigikogu Kantseleid, Riigikontrolli, Vabariigi Presidendi Kantseleid, valitsusasutust, valitsusasutuse hallatav riigiasutust ja Õiguskantsleri Kantseleid. Seletuskirja kohaselt on Eelnõu punkti 7 puhul tegemist ka kehtiva õiguse säilitamisega, kuna see mõiste hõlmab kehtiva KüTS § 3 lõike 4 punktides 3, 5, 6, 7, 8, 11, 12 ja 14 ning lisanduvalt nimetatakse siin ka Finantsinspektsioon, kelle puhul ei ole otseselt niivõrd selge, kas hetkel tema suhtes kehtib KüTS, mistõttu sarnaselt teiste üksustega on ta eraldi nimetatud siinse Eelnõuga. Täiendavalt on seletuskirjas selgitatud, et Finantsinspektsioon ei ole eraldiseisev juriidiline isik, vaid ta on Finantsinspektsiooni seaduse (edaspidi FIS) § 4 lõike 1 kohaselt „autonoomse pädevusega ja oma eelarvega EP juures asuv asutus, mille juhtimisorganid tegutsevad ja esitavad aruandeid FIS-is sätestatud korras. Eelnõu eesmärk on tagada Finantsinspektsiooni tegevuses kasutatavate võrgu- ja infosüsteemide ja andmete turvalisus, mistõttu on õigusselguse huvides eraldi välja toodud ka Finantsinspektsioon kui EP juures asuv asutus. Eelduslikult kohaldatakse küberturvalisuse nõudeid kõikide subjektide kõikidele struktuuriüksustele või nende juures asuvatele asutustele, kuid see punkt loetelus on loodud õigusselguse tagamise eesmärgil, sest Finantsinspektsioon on finantsjärelevalve teostamisel

2 / 3

ja kriisilahendusülesannete täitmisel sõltumatu. Seletuskirja lk 130 kohaselt on Finantsinspektsioon täiesti uueks subjektiks KüTS-i tähenduses. Eeltoodu valguses juhime tähelepanu, et seletuskirjas ei ole KüTS-i Finantsinspektsioonile kohaldamise mõjuanalüüsi, muuhulgas on seega jäetud hindamata Finantsinspektsiooni eripärane funktsioon finantsjärelevalve teostajana kui ka kriisilahenduse asutusena. Nimetatu on oluline, kuna Finantsinspektsioon kuulub neid funktsioone täites nii Euroopa ühtsesse järelevalvemehhanismi (SSM1) kui Euroopa ühtsesse kriisilahenduse korda (SRM2). Sellest tulenevalt ei ole lõpuni selge, kuidas kohalduvad KüTS-i nõuded nendele Finantsinspektsiooni tegevuses kasutatavatele võrgu- ja infosüsteemidele, mis on seotud Euroopa pangandusjärelevalve süsteemiga, kuhu ka Finantsinspektsioon kuulub. Märgime siinjuures, et KüTS-i nõuded ei saa hakata takistama järelevalve teostamist ja infovahetust SSM-i, SRB kui ka Euroopa järelevalveasutustega (edaspidi ESA-d: EBA3, EIOPA4 ja ESMA5). See puudutab muuhulgas ESA-de tasemel tsentraalselt ehitatavate andmekeskuste arendustegevust ja nendega seotud andmevahetust FI ja ESA-de vahel. Samuti ei nähtu, milline võib olla Finantsinspektsiooni täiendav kulu uute nõuete rakendamisel.

Järelevalveliste pädevuste kattuvus

2. Eelnõu § 1 punkti 1 kohaselt hakkab KüTS kohalduma kesksele vastaspoolele Euroopa Parlamendi ja nõukogu määruse (EL) nr 648/2012 börsiväliste tuletisinstrumentide, kesksete vastaspoolte ja kauplemisteabehoidlate kohta (ELT L 201, 27.07.2012, lk 1–59), artikli 2 punkti 1 tähenduses (KüTS § 1 lõike 12 punkt 28). Juhime tähelepanu, et Eestis neid subjekte hetkel ei ole, aga kui oleks, siis DORA määruse järgi oleks järelevalvemandaat FI-l. Seega tekiks KüTS-i alusel topeltjärelevalve. Samuti tekib KüTS-i kohaselt topeltjärelevalve krediidiasutuste suhtes (Eelnõu § 1 lõike 12 punkti 26 alusel) ja kauplemiskoja korraldajale väärtpaberituru seaduse tähenduses (Eelnõu § 1 lõike 12 punkti 27 alusel).

3. KüTS § 1 lõike 13 punkti 8 kohaselt kohaldatakse KüTS-i elutähtsa teenuse osutajale. KüTS § 3 lõike 12 punkti 6 kohaselt elutähtis üksus on elutähtsa teenuse osutaja. KüTS § 14 lõike 13 punkti 2 kohaselt on RIA-l õigus nõuda ettekirjutusega elutähtsa üksuse nõukogult või osanikelt juhatuse liikme volituste ajutist piiramist. Kuna elutähtsad üksused on ka krediidiasutused, tekib RIA ja FI pädevuste kattuvus nende krediidiasutuste suhtes (vt KAS § 104 lõige 1 punkt 9). RIA poolt vastavasisulise ettekirjutuse tegemine krediidiasutusele võib negatiivselt mõjutada krediidiasutuse tegevust ja juhtimist ning tervikuna võib omada olulist mõju riigi finantsstabiilsusele. Palume selgelt sätestada KüTS-is, et selle ettekirjutuse tegemise õigus kuulub FI-le ja RIA-l on õigus teha FI-le vastav ettepanek ettekirjutuse tegemiseks.

4. Eelnõu § 1 punktiga 6 täiendatakse KüTS-i §-ga 11, mille lõike 5 kohaselt kui digitaalse teenuse

osutajal on kohustus määrata digitaalse teenuse osutaja esindaja, kuid ta pole seda määranud Euroopa Liidus, võib KüTS-is sätestatud nõudeid rikkuva digitaalse teenuse osutaja vastu õiguslikke meetmeid iga Euroopa Liidu liikmesriik, kus digitaalse teenuse osutaja enda teenuseid osutab. Eelkõige lauses on puudu tegusõna. Lisaks, kui eelduslikult peab õiguslikke meetmete rakendamine käima selle liikmesriigi kaudu, kus digitaalse teenuse osutaja esindaja on määratud, on küsitav, kas Eelnõuga pakutud sätte alusel saab, näiteks, Eesti RIA

1 Vt https://www.bankingsupervision.europa.eu/home/html/index.en.html 2 Vt https://finance.ec.europa.eu/banking/banking-union/single-resolution-mechanism_en 3 Vt https://www.fi.ee/et/finantsinspektsioon/rahvusvaheline-koostoo/euroopa-pangandusjarelevalve-eba 4Vt https://www.fi.ee/et/finantsinspektsioon/rahvusvaheline-koostoo/euroopa-kindlustus-ja- tooandjapensionide-jarelevalve-eiopa 5Vt https://www.fi.ee/et/finantsinspektsioon/rahvusvaheline-koostoo/euroopa-vaartpaberiturujarelevalve- esma

3 / 3

rakendada meetmeid Amazoni suhtes, kui Amazon ei ole määranud digitaalse teenuse osutaja esindajat Euroopa Liidus ja rikub KüTS-ist tulenevaid nõudeid?

Lugupidamisega /allkirjastatud digitaalselt/ Siim Tammer juhatuse liige Kristina Zorin 668 0581 [email protected]

Sakala 4, Tallinn 15030 Eesti / Estonia T: +372 668 0500 E: [email protected] www.fi.ee

Lp Liisa-Ly Pakosta Justiits- ja Digiministeerium Suur-Ameerika 1 10122 TALLINN [email protected]

Teie 09.12.2024 nr 2-2/3131-1 Meie 28.01.2025 nr 5-8/6699-2

Küberturvalisuse seaduse ja teiste seaduste muutmise seaduse eelnõu (küberturvalisuse 2. direktiivi ülevõtmine)

Majandus- ja Kommunikatsiooniministeerium edastas 09.12.2024 Finantsinspektsioonile Küberturvalisuse seaduse (edaspidi KüTS) ja teiste seaduste muutmise seaduse eelnõu (edaspidi Eelnõu) arvamuse avaldamiseks. Tagasisidet paluti esitada Justiits- ja Digiministeeriumile. Edastame Finantsinspektsiooni tähelepanekud Eelnõu kohta. KüTS-i kohaldumine ja mõju FI-le

1. Kehtiva KüTS § 3 lõike 4 punkti 3 kohaselt kohaldatakse KüTS-is teenuse osutaja kohta sätestatut Eesti Pangale. Finantsinspektsiooni ei ole KüTS § 3 lõikes 4 nimetatud. Eelnõu § 1 punktiga 20 tunnistatakse viidatud lõige kehtetuks, kuna kehtetuks tunnistatava lõike punktide sisu on viidud Eelnõuga KüTS § 1 lõike 13 punkti 7 (KüTS-i kohaldatakse keskvalitsuse avaliku halduse üksusele) kui ka lõikesse 15. Eelnõu § 1 punktiga 7 täiendatakse KüTS §-i 2 muu hulgas punktiga 12, mille kohaselt keskvalitsuse avaliku halduse üksus on üksuse üldnimetus, mille puhul on mõeldud üksustest Eesti Panka (edaspidi EP), Finantsinspektsiooni, kohtuasutust, riigi valimisteenistust, Riigikogu Kantseleid, Riigikontrolli, Vabariigi Presidendi Kantseleid, valitsusasutust, valitsusasutuse hallatav riigiasutust ja Õiguskantsleri Kantseleid. Seletuskirja kohaselt on Eelnõu punkti 7 puhul tegemist ka kehtiva õiguse säilitamisega, kuna see mõiste hõlmab kehtiva KüTS § 3 lõike 4 punktides 3, 5, 6, 7, 8, 11, 12 ja 14 ning lisanduvalt nimetatakse siin ka Finantsinspektsioon, kelle puhul ei ole otseselt niivõrd selge, kas hetkel tema suhtes kehtib KüTS, mistõttu sarnaselt teiste üksustega on ta eraldi nimetatud siinse Eelnõuga. Täiendavalt on seletuskirjas selgitatud, et Finantsinspektsioon ei ole eraldiseisev juriidiline isik, vaid ta on Finantsinspektsiooni seaduse (edaspidi FIS) § 4 lõike 1 kohaselt „autonoomse pädevusega ja oma eelarvega EP juures asuv asutus, mille juhtimisorganid tegutsevad ja esitavad aruandeid FIS-is sätestatud korras. Eelnõu eesmärk on tagada Finantsinspektsiooni tegevuses kasutatavate võrgu- ja infosüsteemide ja andmete turvalisus, mistõttu on õigusselguse huvides eraldi välja toodud ka Finantsinspektsioon kui EP juures asuv asutus. Eelduslikult kohaldatakse küberturvalisuse nõudeid kõikide subjektide kõikidele struktuuriüksustele või nende juures asuvatele asutustele, kuid see punkt loetelus on loodud õigusselguse tagamise eesmärgil, sest Finantsinspektsioon on finantsjärelevalve teostamisel

2 / 3

ja kriisilahendusülesannete täitmisel sõltumatu. Seletuskirja lk 130 kohaselt on Finantsinspektsioon täiesti uueks subjektiks KüTS-i tähenduses. Eeltoodu valguses juhime tähelepanu, et seletuskirjas ei ole KüTS-i Finantsinspektsioonile kohaldamise mõjuanalüüsi, muuhulgas on seega jäetud hindamata Finantsinspektsiooni eripärane funktsioon finantsjärelevalve teostajana kui ka kriisilahenduse asutusena. Nimetatu on oluline, kuna Finantsinspektsioon kuulub neid funktsioone täites nii Euroopa ühtsesse järelevalvemehhanismi (SSM1) kui Euroopa ühtsesse kriisilahenduse korda (SRM2). Sellest tulenevalt ei ole lõpuni selge, kuidas kohalduvad KüTS-i nõuded nendele Finantsinspektsiooni tegevuses kasutatavatele võrgu- ja infosüsteemidele, mis on seotud Euroopa pangandusjärelevalve süsteemiga, kuhu ka Finantsinspektsioon kuulub. Märgime siinjuures, et KüTS-i nõuded ei saa hakata takistama järelevalve teostamist ja infovahetust SSM-i, SRB kui ka Euroopa järelevalveasutustega (edaspidi ESA-d: EBA3, EIOPA4 ja ESMA5). See puudutab muuhulgas ESA-de tasemel tsentraalselt ehitatavate andmekeskuste arendustegevust ja nendega seotud andmevahetust FI ja ESA-de vahel. Samuti ei nähtu, milline võib olla Finantsinspektsiooni täiendav kulu uute nõuete rakendamisel.

Järelevalveliste pädevuste kattuvus

2. Eelnõu § 1 punkti 1 kohaselt hakkab KüTS kohalduma kesksele vastaspoolele Euroopa Parlamendi ja nõukogu määruse (EL) nr 648/2012 börsiväliste tuletisinstrumentide, kesksete vastaspoolte ja kauplemisteabehoidlate kohta (ELT L 201, 27.07.2012, lk 1–59), artikli 2 punkti 1 tähenduses (KüTS § 1 lõike 12 punkt 28). Juhime tähelepanu, et Eestis neid subjekte hetkel ei ole, aga kui oleks, siis DORA määruse järgi oleks järelevalvemandaat FI-l. Seega tekiks KüTS-i alusel topeltjärelevalve. Samuti tekib KüTS-i kohaselt topeltjärelevalve krediidiasutuste suhtes (Eelnõu § 1 lõike 12 punkti 26 alusel) ja kauplemiskoja korraldajale väärtpaberituru seaduse tähenduses (Eelnõu § 1 lõike 12 punkti 27 alusel).

3. KüTS § 1 lõike 13 punkti 8 kohaselt kohaldatakse KüTS-i elutähtsa teenuse osutajale. KüTS § 3 lõike 12 punkti 6 kohaselt elutähtis üksus on elutähtsa teenuse osutaja. KüTS § 14 lõike 13 punkti 2 kohaselt on RIA-l õigus nõuda ettekirjutusega elutähtsa üksuse nõukogult või osanikelt juhatuse liikme volituste ajutist piiramist. Kuna elutähtsad üksused on ka krediidiasutused, tekib RIA ja FI pädevuste kattuvus nende krediidiasutuste suhtes (vt KAS § 104 lõige 1 punkt 9). RIA poolt vastavasisulise ettekirjutuse tegemine krediidiasutusele võib negatiivselt mõjutada krediidiasutuse tegevust ja juhtimist ning tervikuna võib omada olulist mõju riigi finantsstabiilsusele. Palume selgelt sätestada KüTS-is, et selle ettekirjutuse tegemise õigus kuulub FI-le ja RIA-l on õigus teha FI-le vastav ettepanek ettekirjutuse tegemiseks.

4. Eelnõu § 1 punktiga 6 täiendatakse KüTS-i §-ga 11, mille lõike 5 kohaselt kui digitaalse teenuse

osutajal on kohustus määrata digitaalse teenuse osutaja esindaja, kuid ta pole seda määranud Euroopa Liidus, võib KüTS-is sätestatud nõudeid rikkuva digitaalse teenuse osutaja vastu õiguslikke meetmeid iga Euroopa Liidu liikmesriik, kus digitaalse teenuse osutaja enda teenuseid osutab. Eelkõige lauses on puudu tegusõna. Lisaks, kui eelduslikult peab õiguslikke meetmete rakendamine käima selle liikmesriigi kaudu, kus digitaalse teenuse osutaja esindaja on määratud, on küsitav, kas Eelnõuga pakutud sätte alusel saab, näiteks, Eesti RIA

1 Vt https://www.bankingsupervision.europa.eu/home/html/index.en.html 2 Vt https://finance.ec.europa.eu/banking/banking-union/single-resolution-mechanism_en 3 Vt https://www.fi.ee/et/finantsinspektsioon/rahvusvaheline-koostoo/euroopa-pangandusjarelevalve-eba 4Vt https://www.fi.ee/et/finantsinspektsioon/rahvusvaheline-koostoo/euroopa-kindlustus-ja- tooandjapensionide-jarelevalve-eiopa 5Vt https://www.fi.ee/et/finantsinspektsioon/rahvusvaheline-koostoo/euroopa-vaartpaberiturujarelevalve- esma

3 / 3

rakendada meetmeid Amazoni suhtes, kui Amazon ei ole määranud digitaalse teenuse osutaja esindajat Euroopa Liidus ja rikub KüTS-ist tulenevaid nõudeid?

Lugupidamisega /allkirjastatud digitaalselt/ Siim Tammer juhatuse liige Kristina Zorin 668 0581 [email protected]