Arvamuse edastamine

Justiits- ja Digiministeerium
[email protected]
/kuupäev digiallkirjas/


Arvamus küberturvalisuse seaduse ja
teiste seaduste muutmise seaduse
(küberturvalisuse 2. direktiivi ülevõtmine)
eelnõu kohta


AS-il Elenger Grupp (Elenger) on küberturvalisuse seaduse ja teiste seaduste muutmise seaduse (küberturvalisuse 2. direktiivi ülevõtmine) eelnõu kohta järgmised märkused ja ettepanekud.

1. Eelnõu kohaselt laiendatakse küberturvalisuse seaduse (KüTS) kohaldamisala tegevusalapõhiselt, hõlmates muuhulgas elektritootjad ja LNG müügiga tegelevad isikud. Lisaks tegevusalale peavad KüTS-i subjektide töötajate arv ja finantsnäitajad ületama teatud künnised – vastavalt 50 töötajat ja lisaks aastakäive või bilansimaht üle 10 miljoni euro. Seotud ettevõtjate puhul (ettevõtja omab teises ettevõtjas üle 51%) tuleb aga künniste hindamisel arvestada kontserni vastavaid arve tervikuna. Selle tulemusena saavad KüTS-i subjektideks ka järgmised Elengeri Eestis asuvad tütarettevõtjad (arvandmed 31.12.2023 seisuga):
• OÜ Pärnu Päikesepark 1: töötajaid 0, varad 1 005 725 eurot, müügitulu 138 858 eurot.
• OÜ Pärnu Päikesepark 2: töötajaid 0, varad 995 532 eurot, müügitulu 136 810 eurot.
• OÜ Pärnu Päikesepark 3: töötajaid 0, varad 969 305 eurot, müügitulu 126 682 eurot.
• OÜ Pärnu Päikesepark 4: töötajaid 0, varad 971 918 eurot, müügitulu 127 648 eurot.
• Elenger Marine OÜ: töötajaid 5, varad 6 864 026 eurot, müügitulu 22 474 629 eurot.

Ükski neist ettevõtjatest ei kvalifitseeru iseseisvalt KüTS-i subjektiks – meie päikesepargid on mikroettevõtjad raamatupidamise seaduse tähenduses ja Elenger Marine OÜ väikeettevõtja. Kuna aga kooskõlastamisele esitatud eelnõus on tehtud viide ettevõtja määratlusele Euroopa Komisjoni soovituses ettevõtjate suuruse määratlemise kohta, oleksid nimetatud ettevõtjad KüTS-ist tulenevate kohustuste täiemahulisteks subjektideks. See on aga otseses vastuolus küberturvalisuse 2. direktiivi (NIS2 direktiiv) ettevalmistamisel taotletud eesmärgiga, mida ka eelnõu seletuskirjas endas rõhutatud - „NIS2 direktiivi ette valmistamisel oli soov välistada olukord, kus mikro- ja väikeettevõtjad satuvad NIS2 direktiivi kohaldamisalasse.“.

Elenger peab küberturvalisust väga oluliseks, kuid leiab, et mikro- ja väikeettevõtjatele Eesti infoturbestandardi või rahvusvahelise standardi ISO/IEC27001 sertifikaadi omamise ja regulaarse vastavusauditeerimise kohustuste kehtestamine on ebaproportsionaalne ja tekitab põhjendamatuid kulusid ning halduskoormust.

Meile teadaolevalt on Läti ja Leedu praktika NIS2 direktiivi ülevõtmisel ka eelnõus esitatust oluliselt erinev:
• Läti küberturvalisuse seadus1 kohaldub ainult suurtele energiasektori ettevõtjatele (vähemalt 250 töötajat või aastakäive üle 50 miljoni eurot ja bilansimaht üle 43 miljoni euro);
• Leedus laieneb küberturvalisuse seadus2 energiasektori ettevõtjatele, millel on vähemalt 50 töötajat ja bilansimaht või aastakäive üle 10 miljoni euro.

Meie teada Lätis ja Leedus ei võeta KüTS-i subjektide kindlaksmääramisel arvesse sidusettevõtjaid.

Palume Eestis NIS2 direktiivi ülevõtmisel kaaluda ettevõtjatele vähem koormavat lahendust ning välistada mikro- ja väikeettevõtjad KüTS-i subjektide ringist. Kui see eelnõu koostajate arvates on võimatu, arvestades Euroopa Komisjoni soovitust, palume selgitada, kuidas on teised Euroopa Liidu liikmesriigid saavutanud lihtsustatud ja oma ettevõtjaid enam kaitsva lähenemise. Üleliigne agarus Euroopa Liidu nõuete ülevõtmisel seab Eesti ettevõtjad naaberriikidega võrreldes ebasoodsasse konkurentsiolukorda ja suurendab põhjendamatult Eesti ettevõtjate kulusid ning halduskoormust.

2. Punktis 1 esile toodud probleemiga haakub tihedalt ka küsimus eelnõu mõjuhinnangute adekvaatsusest. Eelnõu seletuskirja kohaselt on eelnõu uuteks subjektideks olevaid gaasiettevõtjaid terve Eesti peale kokku 1 ja elektritoojaid 3. Nagu eelnevast näha, siis juba pelgalt Elengeri grupi Eesti ettevõtjate seas oleks Euroopa Komisjoni soovituse rakendamise tõttu KüTS-i lisanduvateks subjektiks olevaid isikuid vastavalt 2 (gaasiettevõtjad) ja 4 (elektritootjad). See annab põhjust arvata, et eelnõu mõjuhinnangud on ekslikud ning eelnõust tulenevate nõuete rakendatavuse põhjendatus ning ka võimalikkus, samuti ajagraafikud vajavad uut hindamist.

3. Lisaks soovime juhtida eelnõu koostajate tähelepanu eelnõu üleminekutähtaegade kehtestamiseks valitud viisi selgusele ja õiguslikule korrektsusele.

Eelnõu seletuskirja osa 1.1 kohaselt nähakse lisanduvatele organisatsioonidele ette üleminekuaeg kolm aastat. Nimetatud tähtaegu pole esitatud eelnõus, küll leiab need seletuskirjale lisatud KüTS § 7 lg 5 alusel antud määruse muudatuse kavandist.

KüTS § 7 lg 5 alusel antud määruse rakendamise sätetega saab kehtestada tähtajad vaid selle sama määruse rakendamiseks, mitte aga seadusest vahetult tulenevate nõuete ja kohustuste rakendamiseks. Seega on seadusest endast seletuskirjas viidatud üleminekusätted puudu.

Lugupidamisega
/allkirjastatud digitaalselt/
Margus Kaasik
Juhatuse esimees

Justiits- ja Digiministeerium
[email protected]
/kuupäev digiallkirjas/


Arvamus küberturvalisuse seaduse ja
teiste seaduste muutmise seaduse
(küberturvalisuse 2. direktiivi ülevõtmine)
eelnõu kohta


AS-il Elenger Grupp (Elenger) on küberturvalisuse seaduse ja teiste seaduste muutmise seaduse (küberturvalisuse 2. direktiivi ülevõtmine) eelnõu kohta järgmised märkused ja ettepanekud.

1. Eelnõu kohaselt laiendatakse küberturvalisuse seaduse (KüTS) kohaldamisala tegevusalapõhiselt, hõlmates muuhulgas elektritootjad ja LNG müügiga tegelevad isikud. Lisaks tegevusalale peavad KüTS-i subjektide töötajate arv ja finantsnäitajad ületama teatud künnised – vastavalt 50 töötajat ja lisaks aastakäive või bilansimaht üle 10 miljoni euro. Seotud ettevõtjate puhul (ettevõtja omab teises ettevõtjas üle 51%) tuleb aga künniste hindamisel arvestada kontserni vastavaid arve tervikuna. Selle tulemusena saavad KüTS-i subjektideks ka järgmised Elengeri Eestis asuvad tütarettevõtjad (arvandmed 31.12.2023 seisuga):
• OÜ Pärnu Päikesepark 1: töötajaid 0, varad 1 005 725 eurot, müügitulu 138 858 eurot.
• OÜ Pärnu Päikesepark 2: töötajaid 0, varad 995 532 eurot, müügitulu 136 810 eurot.
• OÜ Pärnu Päikesepark 3: töötajaid 0, varad 969 305 eurot, müügitulu 126 682 eurot.
• OÜ Pärnu Päikesepark 4: töötajaid 0, varad 971 918 eurot, müügitulu 127 648 eurot.
• Elenger Marine OÜ: töötajaid 5, varad 6 864 026 eurot, müügitulu 22 474 629 eurot.

Ükski neist ettevõtjatest ei kvalifitseeru iseseisvalt KüTS-i subjektiks – meie päikesepargid on mikroettevõtjad raamatupidamise seaduse tähenduses ja Elenger Marine OÜ väikeettevõtja. Kuna aga kooskõlastamisele esitatud eelnõus on tehtud viide ettevõtja määratlusele Euroopa Komisjoni soovituses ettevõtjate suuruse määratlemise kohta, oleksid nimetatud ettevõtjad KüTS-ist tulenevate kohustuste täiemahulisteks subjektideks. See on aga otseses vastuolus küberturvalisuse 2. direktiivi (NIS2 direktiiv) ettevalmistamisel taotletud eesmärgiga, mida ka eelnõu seletuskirjas endas rõhutatud - „NIS2 direktiivi ette valmistamisel oli soov välistada olukord, kus mikro- ja väikeettevõtjad satuvad NIS2 direktiivi kohaldamisalasse.“.

Elenger peab küberturvalisust väga oluliseks, kuid leiab, et mikro- ja väikeettevõtjatele Eesti infoturbestandardi või rahvusvahelise standardi ISO/IEC27001 sertifikaadi omamise ja regulaarse vastavusauditeerimise kohustuste kehtestamine on ebaproportsionaalne ja tekitab põhjendamatuid kulusid ning halduskoormust.

Meile teadaolevalt on Läti ja Leedu praktika NIS2 direktiivi ülevõtmisel ka eelnõus esitatust oluliselt erinev:
• Läti küberturvalisuse seadus1 kohaldub ainult suurtele energiasektori ettevõtjatele (vähemalt 250 töötajat või aastakäive üle 50 miljoni eurot ja bilansimaht üle 43 miljoni euro);
• Leedus laieneb küberturvalisuse seadus2 energiasektori ettevõtjatele, millel on vähemalt 50 töötajat ja bilansimaht või aastakäive üle 10 miljoni euro.

Meie teada Lätis ja Leedus ei võeta KüTS-i subjektide kindlaksmääramisel arvesse sidusettevõtjaid.

Palume Eestis NIS2 direktiivi ülevõtmisel kaaluda ettevõtjatele vähem koormavat lahendust ning välistada mikro- ja väikeettevõtjad KüTS-i subjektide ringist. Kui see eelnõu koostajate arvates on võimatu, arvestades Euroopa Komisjoni soovitust, palume selgitada, kuidas on teised Euroopa Liidu liikmesriigid saavutanud lihtsustatud ja oma ettevõtjaid enam kaitsva lähenemise. Üleliigne agarus Euroopa Liidu nõuete ülevõtmisel seab Eesti ettevõtjad naaberriikidega võrreldes ebasoodsasse konkurentsiolukorda ja suurendab põhjendamatult Eesti ettevõtjate kulusid ning halduskoormust.

2. Punktis 1 esile toodud probleemiga haakub tihedalt ka küsimus eelnõu mõjuhinnangute adekvaatsusest. Eelnõu seletuskirja kohaselt on eelnõu uuteks subjektideks olevaid gaasiettevõtjaid terve Eesti peale kokku 1 ja elektritoojaid 3. Nagu eelnevast näha, siis juba pelgalt Elengeri grupi Eesti ettevõtjate seas oleks Euroopa Komisjoni soovituse rakendamise tõttu KüTS-i lisanduvateks subjektiks olevaid isikuid vastavalt 2 (gaasiettevõtjad) ja 4 (elektritootjad). See annab põhjust arvata, et eelnõu mõjuhinnangud on ekslikud ning eelnõust tulenevate nõuete rakendatavuse põhjendatus ning ka võimalikkus, samuti ajagraafikud vajavad uut hindamist.

3. Lisaks soovime juhtida eelnõu koostajate tähelepanu eelnõu üleminekutähtaegade kehtestamiseks valitud viisi selgusele ja õiguslikule korrektsusele.

Eelnõu seletuskirja osa 1.1 kohaselt nähakse lisanduvatele organisatsioonidele ette üleminekuaeg kolm aastat. Nimetatud tähtaegu pole esitatud eelnõus, küll leiab need seletuskirjale lisatud KüTS § 7 lg 5 alusel antud määruse muudatuse kavandist.

KüTS § 7 lg 5 alusel antud määruse rakendamise sätetega saab kehtestada tähtajad vaid selle sama määruse rakendamiseks, mitte aga seadusest vahetult tulenevate nõuete ja kohustuste rakendamiseks. Seega on seadusest endast seletuskirjas viidatud üleminekusätted puudu.

Lugupidamisega
/allkirjastatud digitaalselt/
Margus Kaasik
Juhatuse esimees