Kiri

Endla 10a / 10122 Tallinn / tel 667 2000 / faks 667 2001 / [email protected] / www.ttja.ee

Registrikood 70003218

Majandus- ja

Kommunikatsiooniministeerium

Suur-Ameerika 1

10122 Tallinn

[email protected]

Teie 09.12.2024 nr 2-2/3131-1

Meie 31.01.2025 nr 2-2/2024/0121

Arvamus küberturvalisuse seaduse ja teiste

seaduste muutmise seaduse (küberturvalisuse

2. direktiivi ülevõtmine) eelnõule

Austatud Liisa-Ly Pakosta

Tarbijakaitse ja Tehnilise Järelevalve Amet (edaspidi TTJA) on tutvunud küberturvalisuse seaduse

ja teiste seaduste muutmise seaduse (küberturvalisuse 2. direktiivi ülevõtmine) eelnõuga. TTJA

tänab võimaluse eest arvamust avaldada.

1. TTJA toetab küberturvalisuse seaduse ja teiste seaduste muutmise seaduse (küberturvalisuse

2. direktiivi ülevõtmine) eelnõuga kavandatavaid muudatusi, võtmaks üle Euroopa Parlamendi

ja nõukogu direktiiv (EL) 2022/2555, 14. detsember 2022, mis käsitleb meetmeid, millega

tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL)

nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL)

2016/1148 (küberturvalisuse 2. direktiiv, edaspidi NIS2 direktiiv).

2. Eelnõu § 1 punktiga 49 nähakse ette küberturvalisuse seaduse (KüTS) täiendamine §-ga 133,

mis puudutab Euroopa küberturvalisuse sertifitseerimise kavade kasutamist. Säte on seotud

NIS2 direktiivi artikli 24 üle võtmisega ja sellel on ka seos NIS2 direktiivi

põhjenduspunktidega 80–82 ja 138. TTJA peab oluliseks märkida sättega seonduvalt järgmist.

2.1. KüTS §-ga 131 on Eestis määratud riiklikuks küberturvalisuse sertifitseerimise asutuseks

TTJA.

2.2. Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881, 17. aprill 2019, mis käsitleb

ENISAt (Euroopa Liidu Küberturvalisuse Amet) ning info- ja

kommunikatsioonitehnoloogia küberturvalisuse sertifitseerimist ja millega tunnistatakse

kehtetuks määrus (EL) nr 526/2013 (küberturvalisuse määrus) artikli 58 lõike 5 kohaselt

tagavad liikmesriigid, et riiklikel küberturvalisuse sertifitseerimise asutustel on piisavad

ressursid oma volituste rakendamiseks ning oma ülesannete tulemuslikuks ja tõhusaks

täitmiseks. Seejuures on riiklikul küberturvalisuse sertifitseerimise asutusel

küberturvalisuse määruse artikli 58 lõike 7 punkti 1 kohaselt muu hulgas kohustus teha

järelevalvet Euroopa küberturvalisuse sertifitseerimiskavade täitmise ja rakendamise üle.

2.3. Lisaks on riikliku küberturvalisuse sertifitseerimise asutuse ülesandeid täpsustatud ja

täiendatud Komisjoni rakendusmäärusega (EL) 2024/482, 31. jaanuar 2024, millega

kehtestatakse Euroopa Parlamendi ja nõukogu määruse (EL) 2019/881 rakenduseeskirjad

2 (2)

seoses Euroopa ühiskriteeriumidel põhineva küberturvalisuse sertifitseerimise kava

(EUCC) vastuvõtmisega. Viidatud rakendusmääruse IV peatükk käsitleb mh riikliku

sertifitseerimisasutuse kohustusi seoses Euroopa küberturvalisuse kava rakendamisega ja

teatamiskohustusega. Rakendusmääruse artiklid 25-31 täpsustavad seejuures, millises

osas on riiklikul sertifitseerimisasutusel kohustus teha järelevalvet seoses sertifitseerimise

kava rakendamisega. Lisaks on rakendusmääruse artiklis 48 sätestatud EUCC haldamise

nõuded. Seega kuulub riikliku küberturvalisuse sertifitseerimisasutuse ülesannete hulka

ka Euroopa küberturvalisuse sertifitseerimise rühma (ECCG) töös osalemine.

2.4. Küberturvalisuse määruse alusel on hetkel avaldatud rakendusmäärus (EL) 2024/482,

analoogsed rakendusmäärused on plaanis avaldada kõikide Euroopa sertifitseerimise

kavade kohta. Seejuures on hetkel aktiivselt väljatöötamisel Euroopa küberturvalisuse

sertifitseerimise kava pilveteenuste jaoks (EUCS), 5G teenuste Euroopa küberturvalisuse

sertifitseerimise kava (EU5G) ja Euroopa digitaalse identiteedi rahakott (EUID Wallet).

Eestil on huvi kõikide viidatud arenduste vastu ning nende rakendamine avaldab ka mõju

TTJA ülesannete suurenemisele. Lisaks on ECCG töörühmas ettevalmistamisel

rakendusmääruse väljatöötamine, millega täpsustatakse küberturvalisuse määruse artiklis

59 viidatud vastastikuse eksperdihinnanguga seonduvat ning mis algse ajakava kohaselt

on planeeritud jõustuma käesoleva aasta lõpus.

2.5. Eelnevat arvesse võttes on ette nähtav TTJA koormuse tõus KüTS § 133 jõustumisega,

kuivõrd TTJA ressursivajadus suureneb iga Euroopa sertifitseerimise kava

rakendamisega.

2.6. Täiendavalt märgime, et ehkki KüTS § 133 lõike 1 kohaselt võib Vabariigi Valitsuse

määrusega kohustada teenuse osutajat järgima küberturvalisuse sertifitseerimise kava, ei

ole TTJA hinnangul välistatud, et teenuse osutajad võtavad vastu otsuse kava järgida ka

vabatahtlikult. Näiteks võib selline vajadus tekkida mõne koostööpartneri nõudmisel, kes

soovib, et teenuse osutajal oleks KüTS §-s 7 sätestatud nõuetele vastavuse tõendamiseks

kasutusel teatavad IKT-tooted, IKT-teenused ja IKT-protsessid.

2.7. Lähtudes TTJA-le lisanduvatest tegevustest seoses sertifitseerimise kavadega, teeme

ettepaneku täiendada eelnõu seletuskirja peatükki 7, tuues välja seaduse rakendamisega

kaasnevad mõjud ka TTJA-le. Eelkõige palume välja tuua, et seadusest tulenevate uute

ülesannete täitmiseks on riiklikul küberturvalisuse sertifitseerimise asutusel vaja

luua üks täiendav ametikoht. Ametikoha töövaldkond on küberturvalisuse

sertifitseerimise kavade täitmise ja rakendamise üle järelevalve teostamine. Loodava

ametikoha abil on võimalik TTJA-l rakendada temale määratud volitusi ning täita

ülesandeid tulemuslikult ja tõhusalt.

Lugupidamisega

(allkirjastatud digitaalselt)

Kristi Talving

peadirektor

Melissa Liivak

6672037 [email protected]