Arvamuse edastamine

Justiits- ja Digiministeerium Teie: 09.12.2024 nr 2-2/3131-1 Liisa-Ly Pakosta Meie: 31.01.2025 nr 2-3/2025-2 Raavo Palu [email protected] [email protected]

Eesti Interneti SA arvamus Küberturvalisuse seaduse ja teiste seaduste muutmise seaduseelnõu kohta

Justiits- ja Digiministeerium esitas 09.12.2024 Küberturvalisuse seaduse ja teiste seaduste muutmise seaduse (küberturvalisuse 2. direktiivi ehk NIS2 direktiivi ülevõtmine) eelnõu. Käesolevaga tänab Eesti Interneti SA (edaspidi ka: EIS) võimaluse eest esitada enda arvamuse ja annab alljärgnevalt tagasisidet.

Eesti Interneti SA hinnangul on domeeninduse valdkond, mida reguleerib eelkõige NIS2 direktiivi artikkel 28, kohaselt üle võetud EISi Nõukogu poolt ning viidud kooskõlla .ee Domeenireeglite ja Registrilepinguga. Selles osas EIS kooskõlastab seletuskirja lisas 1 vastavustabeli lk 6 art 28 ülevõtmise.

NIS2 direktiiv reguleerib domeeninduse valdkonda kolme teenuseosutaja suhtes: domeeninimede registreerimise teenuseid osutavad üksused, tippdomeeninimede registrite pidajad ja domeeninimede süsteemi teenuse osutajad. Viimased kaks teenuseosutajat muutuvad olenemata nende suurusest elutähtsa teenuse üksuseks.

Siinkohal peab EIS vajalikuks välja tuua, et kui EIS on käsitletav tippdomeeninimede registri pidajana, siis .ee domeeninimede registreerimine on Eestis korraldatud läbi .ee akrediteeritud registripidajate, keda tegutseb kokku Eestis 24 ja välismaalt lisaks 27. Käesolevas seletuskirjas on aga välja toodud, et domeeninimede registreerimise teenuseid osutavaid üksusi on kokku 10, mis tegelikult ei vasta tõele, sest hetkel teostab EIS kokku 51 akrediteeritud .ee registripidaja teenuse osutamise suhtes järelevalvet läbi nendega sõlmitud Registrilepingu. Seega tegutseb Eestis hetkel kokku 24 domeeninimede registreerimise teenuseid osutavaid üksusi.

Samuti olete leidnud, et DNS teenuse osutajaid on Eestis kokku ca 600. Siinkohal pole EISile selge, kust antud numbrid on leitud ja palume selles osas seletuskirjas rohkem põhjendusi. Küll aga on selge, et need 51 akrediteeritud registripidajat muutuvad NIS2 kohaselt elutähtsa teenuse üksuseks, sest lisaks domeeninimede registreerimise teenuste osutamisele läbi Registrilepingu,

osutavad nad lõppkliendile ka nimeserveriteenust. Enamasti käib .ee domeenninimede registreerimise teenus käsikäes nimeserveri teenuse osutamisega, sest registripidajad pakuvad lõppkasutajatele enda nimeservreid selleks, et domeen oleks internetis kättesaadav ja kasutatav - tavakasutaja ei oma teadagi kodustes tingimustes servereid. Nii pakuvad EISile teadaolevalt pea kõik .ee akrediteeritud registripidajad ka DNS teenust, mis tähendab, et kõik .ee registripidajad muutuvad sisuliselt elutähtsa teenuse üksuseks.

EISi murekoht peitub selles, et enamik .ee akrediteeritud registripidajaid on Eesti turul väikeettevõtjad. Kokku on 28.01.2025 seisuga registreeritud 173 367 .ee domeeni, siis enamik .ee akrediteeritud registripidajast (44 registripidajat) omab enda haldusalas alla 5000 .ee domeeni. Sellest 44st registripidajast pea 9 omab enda haldusalas alla 2000 .ee domeeni. Seega enamik .ee akrediteeritud registripidajatest on Eesti mõistes väikeettevõtjad ja teenindavad ca 2000 - 5000 .ee domeeni, kuid muutuvad NIS2 mõistes elutähtsa teenuse üksuseks ja nendelt plaanitakse nõuda eelnõu järgi muuhulgas enda küberturvalisuse auditeerimist.

EISi hinnangul ei ole see proportsionaalne meede, arvestades nende registripidajate suurust ja võimalike küberintsidentide esinemise tõsidust kui ka tõenäosust. Samuti ei ole EIS enda järelevalvet teostades seni tuvastanud, et .ee domeenidega oleks toimunud selliseid Eesti küberturvalisust ohustavaid juhtumeid, mille ühiskondlik ja majanduslik mõju oleks olnud suur.

Nii teeb EIS ettepaneku kohaldada kuni 5000 domeeniga .ee akrediteeritud registripidajale samasuguseid reegleid nagu domeeninimede registreerimise teenuse osutajale või minimaalsuse nõuded, mida NIS2 võimaldab. Mõistame, et NIS2 ei võimalda DNS teenuse osutajad olenemata nende suurusest kohaldamisalast välja jätta, kuid EISi hinnangul on NIS2 artiklis 21 selgelt antud seadusandjale võimalus kohaldada teatud juhtudel madalamaid kriteeriume ning meetmeid saab riik hinnata vastavalt proportsionaalsuse põhimõttele: “Võttes arvesse kaasaegseid ning, kui see on kohaldatav, asjakohaseid Euroopa ja rahvusvahelisi standardeid ja rakendamiskulusid tagatakse esimeses lõigus osutatud meetmetega ähvardavale ohule vastav võrgu- ja infosüsteemide turvalisuse tase. Nende meetmete proportsionaalsuse hindamisel võetakse igakülgselt arvesse üksuse riskidele avatuse määra, üksuse suurust ning intsidentide esinemise tõenäosust ja nende tõsidust, sealhulgas nende ühiskondlikku ja majanduslikku mõju.”

Arvestades .ee akrediteeritud registripidajaid, kelle haldusalas on kuni 5000 domeeni, on nende ühiskondlik ja majanduslik mõju oluliselt väiksem, et nendele ei peaks kohaldama kõiki rahvusvahelisi küberturvalisuse standardeid. Samuti ei ole nende üksuste riskidele avatuse määr suur. EISi hinnangul tuleks nendelt nõuda üksnes NIS2 art 21 lg 2 minimaalsete tingimuste täitmist.

Seega teeme ettepaneku KüTS eelnõud muuta selliselt, et kuni 5000 domeeniga registripidajalt nõuab seadusandja küll küberturvalisuse riskijuhtimismeetmete tagamist, kuid üksnes minimalses ulatuses ja piirdudes NIS2 direktiivi artikliga 21 lg 2. EIS palub, et seadusandja rakendab seda viisil, et selleks ei pea väiksemad registripidajad kaasama küberturvalisuse auditeerimist ja saama ISO 27001 või samaväärset sertifikaati, vaid asutus ise dokumenteerib nõutud dokumendid, kuid auditeerimiskohustust ja võimalike trahve sertifikaati mitteomades ei kaasne. Sisuliselt sarnane GDPR määruse nõuete täitmisega, millega ei kaasnenud väiksematele subjektidele auditeerimiskohustust (kuid trahvid nõuete täitmata jätmise suhtes püsivad).

Lisaks juhime tähelepanu, et väikeettevõtjatele on ka küberturvalisuse auditeerimise kulust tulenev majanduslik mõju väga suur. Auditeerimiskulu ületab kordades väikeettevõtjate aasta tulu domeeninduse valdkonnas ja mida teenitakse .ee müügist või nimeserveriteenusest. See omakorda tähendab, et säärase kohustuse panemine võib viia väikeettevõtjad sulgemiseni ja läbi mille piiratakse turuolukorda, konkurentsivõimet. See mõjutaks otseselt juba negatiivselt domeenivaldkona Eestis.

Seega palub EIS KüTS eelnõud muuta ja kuni 5000 domeeniga akrediteeritud .ee registripidajad vabastada rahvusvahelise või Euroopa küberstandarditele vastamise kohustusest.

Oleme avatud diskussiooniks ja arutama ettepanekut.

Lugupidamisega

Helen Aaremäe-Saar

Eesti Interneti SA jurist

Justiits- ja Digiministeerium Teie: 09.12.2024 nr 2-2/3131-1 Liisa-Ly Pakosta Meie: 31.01.2025 nr 2-3/2025-2 Raavo Palu [email protected] [email protected]

Eesti Interneti SA arvamus Küberturvalisuse seaduse ja teiste seaduste muutmise seaduseelnõu kohta

Justiits- ja Digiministeerium esitas 09.12.2024 Küberturvalisuse seaduse ja teiste seaduste muutmise seaduse (küberturvalisuse 2. direktiivi ehk NIS2 direktiivi ülevõtmine) eelnõu. Käesolevaga tänab Eesti Interneti SA (edaspidi ka: EIS) võimaluse eest esitada enda arvamuse ja annab alljärgnevalt tagasisidet.

Eesti Interneti SA hinnangul on domeeninduse valdkond, mida reguleerib eelkõige NIS2 direktiivi artikkel 28, kohaselt üle võetud EISi Nõukogu poolt ning viidud kooskõlla .ee Domeenireeglite ja Registrilepinguga. Selles osas EIS kooskõlastab seletuskirja lisas 1 vastavustabeli lk 6 art 28 ülevõtmise.

NIS2 direktiiv reguleerib domeeninduse valdkonda kolme teenuseosutaja suhtes: domeeninimede registreerimise teenuseid osutavad üksused, tippdomeeninimede registrite pidajad ja domeeninimede süsteemi teenuse osutajad. Viimased kaks teenuseosutajat muutuvad olenemata nende suurusest elutähtsa teenuse üksuseks.

Siinkohal peab EIS vajalikuks välja tuua, et kui EIS on käsitletav tippdomeeninimede registri pidajana, siis .ee domeeninimede registreerimine on Eestis korraldatud läbi .ee akrediteeritud registripidajate, keda tegutseb kokku Eestis 24 ja välismaalt lisaks 27. Käesolevas seletuskirjas on aga välja toodud, et domeeninimede registreerimise teenuseid osutavaid üksusi on kokku 10, mis tegelikult ei vasta tõele, sest hetkel teostab EIS kokku 51 akrediteeritud .ee registripidaja teenuse osutamise suhtes järelevalvet läbi nendega sõlmitud Registrilepingu. Seega tegutseb Eestis hetkel kokku 24 domeeninimede registreerimise teenuseid osutavaid üksusi.

Samuti olete leidnud, et DNS teenuse osutajaid on Eestis kokku ca 600. Siinkohal pole EISile selge, kust antud numbrid on leitud ja palume selles osas seletuskirjas rohkem põhjendusi. Küll aga on selge, et need 51 akrediteeritud registripidajat muutuvad NIS2 kohaselt elutähtsa teenuse üksuseks, sest lisaks domeeninimede registreerimise teenuste osutamisele läbi Registrilepingu,

osutavad nad lõppkliendile ka nimeserveriteenust. Enamasti käib .ee domeenninimede registreerimise teenus käsikäes nimeserveri teenuse osutamisega, sest registripidajad pakuvad lõppkasutajatele enda nimeservreid selleks, et domeen oleks internetis kättesaadav ja kasutatav - tavakasutaja ei oma teadagi kodustes tingimustes servereid. Nii pakuvad EISile teadaolevalt pea kõik .ee akrediteeritud registripidajad ka DNS teenust, mis tähendab, et kõik .ee registripidajad muutuvad sisuliselt elutähtsa teenuse üksuseks.

EISi murekoht peitub selles, et enamik .ee akrediteeritud registripidajaid on Eesti turul väikeettevõtjad. Kokku on 28.01.2025 seisuga registreeritud 173 367 .ee domeeni, siis enamik .ee akrediteeritud registripidajast (44 registripidajat) omab enda haldusalas alla 5000 .ee domeeni. Sellest 44st registripidajast pea 9 omab enda haldusalas alla 2000 .ee domeeni. Seega enamik .ee akrediteeritud registripidajatest on Eesti mõistes väikeettevõtjad ja teenindavad ca 2000 - 5000 .ee domeeni, kuid muutuvad NIS2 mõistes elutähtsa teenuse üksuseks ja nendelt plaanitakse nõuda eelnõu järgi muuhulgas enda küberturvalisuse auditeerimist.

EISi hinnangul ei ole see proportsionaalne meede, arvestades nende registripidajate suurust ja võimalike küberintsidentide esinemise tõsidust kui ka tõenäosust. Samuti ei ole EIS enda järelevalvet teostades seni tuvastanud, et .ee domeenidega oleks toimunud selliseid Eesti küberturvalisust ohustavaid juhtumeid, mille ühiskondlik ja majanduslik mõju oleks olnud suur.

Nii teeb EIS ettepaneku kohaldada kuni 5000 domeeniga .ee akrediteeritud registripidajale samasuguseid reegleid nagu domeeninimede registreerimise teenuse osutajale või minimaalsuse nõuded, mida NIS2 võimaldab. Mõistame, et NIS2 ei võimalda DNS teenuse osutajad olenemata nende suurusest kohaldamisalast välja jätta, kuid EISi hinnangul on NIS2 artiklis 21 selgelt antud seadusandjale võimalus kohaldada teatud juhtudel madalamaid kriteeriume ning meetmeid saab riik hinnata vastavalt proportsionaalsuse põhimõttele: “Võttes arvesse kaasaegseid ning, kui see on kohaldatav, asjakohaseid Euroopa ja rahvusvahelisi standardeid ja rakendamiskulusid tagatakse esimeses lõigus osutatud meetmetega ähvardavale ohule vastav võrgu- ja infosüsteemide turvalisuse tase. Nende meetmete proportsionaalsuse hindamisel võetakse igakülgselt arvesse üksuse riskidele avatuse määra, üksuse suurust ning intsidentide esinemise tõenäosust ja nende tõsidust, sealhulgas nende ühiskondlikku ja majanduslikku mõju.”

Arvestades .ee akrediteeritud registripidajaid, kelle haldusalas on kuni 5000 domeeni, on nende ühiskondlik ja majanduslik mõju oluliselt väiksem, et nendele ei peaks kohaldama kõiki rahvusvahelisi küberturvalisuse standardeid. Samuti ei ole nende üksuste riskidele avatuse määr suur. EISi hinnangul tuleks nendelt nõuda üksnes NIS2 art 21 lg 2 minimaalsete tingimuste täitmist.

Seega teeme ettepaneku KüTS eelnõud muuta selliselt, et kuni 5000 domeeniga registripidajalt nõuab seadusandja küll küberturvalisuse riskijuhtimismeetmete tagamist, kuid üksnes minimalses ulatuses ja piirdudes NIS2 direktiivi artikliga 21 lg 2. EIS palub, et seadusandja rakendab seda viisil, et selleks ei pea väiksemad registripidajad kaasama küberturvalisuse auditeerimist ja saama ISO 27001 või samaväärset sertifikaati, vaid asutus ise dokumenteerib nõutud dokumendid, kuid auditeerimiskohustust ja võimalike trahve sertifikaati mitteomades ei kaasne. Sisuliselt sarnane GDPR määruse nõuete täitmisega, millega ei kaasnenud väiksematele subjektidele auditeerimiskohustust (kuid trahvid nõuete täitmata jätmise suhtes püsivad).

Lisaks juhime tähelepanu, et väikeettevõtjatele on ka küberturvalisuse auditeerimise kulust tulenev majanduslik mõju väga suur. Auditeerimiskulu ületab kordades väikeettevõtjate aasta tulu domeeninduse valdkonnas ja mida teenitakse .ee müügist või nimeserveriteenusest. See omakorda tähendab, et säärase kohustuse panemine võib viia väikeettevõtjad sulgemiseni ja läbi mille piiratakse turuolukorda, konkurentsivõimet. See mõjutaks otseselt juba negatiivselt domeenivaldkona Eestis.

Seega palub EIS KüTS eelnõud muuta ja kuni 5000 domeeniga akrediteeritud .ee registripidajad vabastada rahvusvahelise või Euroopa küberstandarditele vastamise kohustusest.

Oleme avatud diskussiooniks ja arutama ettepanekut.

Lugupidamisega

Helen Aaremäe-Saar

Eesti Interneti SA jurist