| Dokumendiregister | Justiitsministeerium |
| Viit | 8-2/8641 |
| Registreeritud | 03.02.2025 |
| Sünkroonitud | 04.02.2025 |
| Liik | Sissetulev kiri |
| Funktsioon | 8 Eelnõude menetlemine |
| Sari | 8-2 Arvamused teiste ministeeriumide eelnõudele (arvamused, memod, kirjavahetus) |
| Toimik | 8-2/2024 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Eesti Jõujaamade ja kaugkütte ühing |
| Saabumis/saatmisviis | Eesti Jõujaamade ja kaugkütte ühing |
| Vastutaja | Raavo Palu (Justiits- ja Digiministeerium, Kantsleri vastutusvaldkond, Digitaristu- ja küberturvalisuse osakond, Riikliku küberturvalisuse talitus) |
| Originaal | Ava uues aknas |
Tähelepanu! Tegemist on välisvõrgust saabunud kirjaga. |
Tähelepanu! Tegemist on välisvõrgust saabunud kirjaga. |
Tere
Edastame Eesti Jõujaamade ja kaugkütte ühingu tagasiside.
Loodetavasti jõuab see õige adressaadini.
Vajadusel oleme valmis täiendavalt selgitama ning eelnõu parendamisele kaasa aitama.
Lugupidamisega
Siim Umbleja
Eesti Jõujaamade ja kaugkütte ühing
5165943
Büroo: Maakri 19/1, 10145 Tallinn
Tel: 6556 275
E-post: [email protected]
Internet: www.epha.ee
Reg.nr: 80027237
Justiits- ja digiministeerium [email protected]
Teie: 09.12.2024 nr 2-2/3131-1
Meie: 31.01.2025 nr 3
Ettepanekud seoses küberturvalisuse seaduse ja
teiste seaduste muutmise seaduse eelnõuga
Lugupeetud Liisa-Ly Pakosta
Eesti jõujaamade ja kaugkütte ühingule on 09.12.2024 esitatud kooskõlastamiseks ja
arvamuse avaldamiseks küberturvalisuse seaduse ja teiste seaduste muutmise seaduse
(küberturvalisuse 2. direktiivi ülevõtmine) eelnõu. Eelnõuga võetakse üle direktiiv EL
2022/2555 ehk nn NIS2 direktiiv, mis käsitleb meetmeid, millega tagada küberturvalisuse
ühtlaselt kõrge tase kogu liidus. Eelnõule oodatakse tagasisidet hiljemalt 31.01.2025.
Eesti jõujaamade ja kaugkütte ühing (EJKÜ) esindab soojuse- ja energiavaldkonnas
tegutsevaid ettevõtteid üle Eesti ning meie soov on, et toodetav ja edastatav energia oleks
võimalikult keskkonnasõbralik, efektiivne, taskukohane ning tagatud oleks vajalik
varustuskindlus ja regionaalne tasakaal.
Eelnevast tulenevalt on arusaadav, et kübervaldkonna tugevdamine on varustuskindluse
tagamise vaates väga oluline, seda enam, et järjest suurem digitaliseerimine,
automatiseerimine jne tõstatuvad valdkonnaga seotud riske ja ohte, milleks tuleb valmis olla
ning vajalikke maandamistegevusi teostada.
Eelnõuga seoses juhime tähelepanu järgmisele asjaoludele:
1. Seaduse kohaldumisala täpsustamine
Eelnõu § 1 punktis 1 tuuakse välja, et seadust kohaldatakse keskmistele ja suurtele
ettevõtetele Euroopa Komisjoni soovituse 2003/361/EÜ järgi, kes tegutsevad eelnõus
loetletud tegevusvaldkondades. Samas on eraldi välja toodud, et juhul kui tegemist on
elutähtsa teenuse osutajaga, siis kohaldatakse üksuse suhtes kõiki nõudeid olenemata tema
suurusest. Leevendusena on elutähtsate teenuste osutajatele ettenähtud 5 aastane
üleminekuaeg.
Teeme ettepaneku täpsustada seaduse sihtrühma ning eemaldada sealt näiteks kaugjahutuse
pakkujad, sest meie hinnangul ei ole tegemist kaugkütteseadusega reguleeritud tegevusega
ning samuti pole kaugjahutuse pakkumine täna elutähtsate teenuste loetelus.
Pakutud sihtrühma laienemise osas tuleb muidugi üldiselt välja tuua, et küberturvalisuse
seaduse subjektide nimekiri läheb liiga laiaks ning raskelt hallatavaks. Esiteks puudub lõplik
kindlus, et millised ettevõtted ja asutused üldse seaduse regulatsiooni alla lähevad (juhul kui
ei avaldata suletud nimekirja) või siis pole sellise hulga subjektide mahu juures realistlik
nõuetekohase järelevalve teostamine. Sellest tulenevalt võib süveneda risk, kus selle asemel,
et keskenduda kõige kriitilisematele ettevõtetele ja riskidele hakatakse hoopis plaani täitma.
Tuleks leida võimalused nimekirja kokku tõmbamiseks ning samuti kaaluda erisusi ja
lihtsustusi väiksematele ettevõtetele.
2. Kübervaldkonna erikoolitusest
Eelnõu näeb ette teenuse osutaja juhtorgani kohustuse läbida korrapäraselt erikoolitusi, mille
õpiväljunditeks on piisavate teadmiste ja oskuste omandamine, et mõista küberturvalisuse
riske jne. Samuti peab teenuse osutaja juhtorgan tagama, et töötajad ja ametnikud saavad
korrapäraselt sarnaseid koolitusi. Seletuskirjas on lk 82 välja toodud võimalikud
õpiväljundid ning samuti on lk 83 viidatud, et võimaliku koolitusvälba osas oodatakse
tagasisidet.
Eelnevaga seoses palume kindlasti kriitiliselt üle vaadata ja täpsustada vajaliku
küberkoolituse sisu ning õpiväljundid. Eelnõu seletuskirjas väljatoodud oskused tunduvat
olevat juba sellisel tasemel erioskused, milleks üldjuhul värvatakse organisatsiooni vajaliku
pädevusega valdkondlikud spetsialistid (teatud juhul isegi vajaliku kutsetunnistusega).
Pole võimalik eeldada ja puudub ka vajadus, et asutuse juhtorgan omandaks lühikese
koolituse järgselt näiteks järgmised erioskused: a) oskus töötada välja asjakohased meetmed
küberriskide leevendamiseks, b) oskus juhtida küberkriiside lahendamist, c) oskus koostada
ja testida küberintsidentide haldamisplaani jne. Samas on mõistetav, et asutuse juhil on
vajalik omada kübervaldkonna riskidest piisavat ülevaadet. Võib eeldada, et vajalikest
riskidest saadakse ülevaade esimesel võimalusel, mistõttu puudub vajadus teatud
regulaarsuse kehtestamiseks. Samas kui võtta paralleel kutsesüsteemiga, siis seal toimub
pädevuste taastõendamine üldjuhul iga 5 aasta järgselt.
Lisaks teeme ettepaneku, et sellise ülevaatliku küberkoolituse võiks juhtorganile teha ka
ettevõtte IT-juht või vastutav turbespetsialist. Vastava täpsustuse võiks seletuskirjas välja
tuua, et vältida hilisemaid vaidlusi ning tõlgendusi.
3. Ettekirjutused ja järelvalve
Juba varasemalt viitasime, et sellisele suurele hulgale subjektidele (ca 5500 organisatsiooni)
riikliku järelevalve korraldamine pole usutavalt realistlik ning võib eeldada, et see muutub
juhuse vms asjaolu põhiseks.
Samas on eelnõus on märgitud, et riikliku ja haldusjärelevalvemenetluse käigus ettekirjutuse
täitmata jätmise korral on asendustäitmise ja sunniraha seaduses sätestatud korras
rakendatava sunniraha kohaldamise igakordne ülemmäär 7 000 000 eurot või kuni 1,4
protsenti teenuse osutaja omanikust ettevõtja eelmise majandusaasta ülemaailmsest aastasest
kogukäibest, olenevalt sellest, kumb summa on suurem.
Eelnõu punktis 58 on välja toodud, et juriidilisest isikust olulist üksust karistatakse
rahatrahviga kuni 7 000 000 eurot või kuni 1,4 protsenti olulise üksuse omanikust ettevõtja
eelmise majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa
on suurem. Elutähtsa üksuse korral on rahatrahvi suurus kuni 10 000 000 eurot või kuni 2
protsenti elutähtsa üksuse omanikust ettevõtja eelmise majandusaasta ülemaailmsest
aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.
Juhime tähelepanu, et paljude Eesti elutähtsa teenuse osutajate jaoks on selliste summade
tasumine võimatu. Sisuliselt tähendaks see ettevõtte ja teenuse osutaja pankrotti.
Reguleeritud sektorites on tulukus reguleeritud ning mitmete ettevõtete aastakäive võib olla
väiksem kui eelnõus väljatoodud 10 mln eurot.
Sellest tulenevalt teeme ettepaneku muuta sunniraha ja trahvisummad realistlikumaks
arvestades Eesti ettevõtete ja teenuseosutajate suurusi ning reguleeritud sektorite eripärasid.
Samuti tuleb arvesse võtta esinenud riski ja rikkumise proportsionaalsuse põhimõtet.
Loodame, et meie toodud ettepanekuid on võimalik seaduse täiendamisel arvestada ning
vajadusel oleme valmis täiendavalt selgitama.
Lugupidamisega
(Allkirjastatud digitaalselt)
Siim Umbleja
Juhatuse liige
5165943
Büroo: Maakri 19/1, 10145 Tallinn
Tel: 6556 275
E-post: [email protected]
Internet: www.epha.ee
Reg.nr: 80027237
Justiits- ja digiministeerium [email protected]
Teie: 09.12.2024 nr 2-2/3131-1
Meie: 31.01.2025 nr 3
Ettepanekud seoses küberturvalisuse seaduse ja
teiste seaduste muutmise seaduse eelnõuga
Lugupeetud Liisa-Ly Pakosta
Eesti jõujaamade ja kaugkütte ühingule on 09.12.2024 esitatud kooskõlastamiseks ja
arvamuse avaldamiseks küberturvalisuse seaduse ja teiste seaduste muutmise seaduse
(küberturvalisuse 2. direktiivi ülevõtmine) eelnõu. Eelnõuga võetakse üle direktiiv EL
2022/2555 ehk nn NIS2 direktiiv, mis käsitleb meetmeid, millega tagada küberturvalisuse
ühtlaselt kõrge tase kogu liidus. Eelnõule oodatakse tagasisidet hiljemalt 31.01.2025.
Eesti jõujaamade ja kaugkütte ühing (EJKÜ) esindab soojuse- ja energiavaldkonnas
tegutsevaid ettevõtteid üle Eesti ning meie soov on, et toodetav ja edastatav energia oleks
võimalikult keskkonnasõbralik, efektiivne, taskukohane ning tagatud oleks vajalik
varustuskindlus ja regionaalne tasakaal.
Eelnevast tulenevalt on arusaadav, et kübervaldkonna tugevdamine on varustuskindluse
tagamise vaates väga oluline, seda enam, et järjest suurem digitaliseerimine,
automatiseerimine jne tõstatuvad valdkonnaga seotud riske ja ohte, milleks tuleb valmis olla
ning vajalikke maandamistegevusi teostada.
Eelnõuga seoses juhime tähelepanu järgmisele asjaoludele:
1. Seaduse kohaldumisala täpsustamine
Eelnõu § 1 punktis 1 tuuakse välja, et seadust kohaldatakse keskmistele ja suurtele
ettevõtetele Euroopa Komisjoni soovituse 2003/361/EÜ järgi, kes tegutsevad eelnõus
loetletud tegevusvaldkondades. Samas on eraldi välja toodud, et juhul kui tegemist on
elutähtsa teenuse osutajaga, siis kohaldatakse üksuse suhtes kõiki nõudeid olenemata tema
suurusest. Leevendusena on elutähtsate teenuste osutajatele ettenähtud 5 aastane
üleminekuaeg.
Teeme ettepaneku täpsustada seaduse sihtrühma ning eemaldada sealt näiteks kaugjahutuse
pakkujad, sest meie hinnangul ei ole tegemist kaugkütteseadusega reguleeritud tegevusega
ning samuti pole kaugjahutuse pakkumine täna elutähtsate teenuste loetelus.
Pakutud sihtrühma laienemise osas tuleb muidugi üldiselt välja tuua, et küberturvalisuse
seaduse subjektide nimekiri läheb liiga laiaks ning raskelt hallatavaks. Esiteks puudub lõplik
kindlus, et millised ettevõtted ja asutused üldse seaduse regulatsiooni alla lähevad (juhul kui
ei avaldata suletud nimekirja) või siis pole sellise hulga subjektide mahu juures realistlik
nõuetekohase järelevalve teostamine. Sellest tulenevalt võib süveneda risk, kus selle asemel,
et keskenduda kõige kriitilisematele ettevõtetele ja riskidele hakatakse hoopis plaani täitma.
Tuleks leida võimalused nimekirja kokku tõmbamiseks ning samuti kaaluda erisusi ja
lihtsustusi väiksematele ettevõtetele.
2. Kübervaldkonna erikoolitusest
Eelnõu näeb ette teenuse osutaja juhtorgani kohustuse läbida korrapäraselt erikoolitusi, mille
õpiväljunditeks on piisavate teadmiste ja oskuste omandamine, et mõista küberturvalisuse
riske jne. Samuti peab teenuse osutaja juhtorgan tagama, et töötajad ja ametnikud saavad
korrapäraselt sarnaseid koolitusi. Seletuskirjas on lk 82 välja toodud võimalikud
õpiväljundid ning samuti on lk 83 viidatud, et võimaliku koolitusvälba osas oodatakse
tagasisidet.
Eelnevaga seoses palume kindlasti kriitiliselt üle vaadata ja täpsustada vajaliku
küberkoolituse sisu ning õpiväljundid. Eelnõu seletuskirjas väljatoodud oskused tunduvat
olevat juba sellisel tasemel erioskused, milleks üldjuhul värvatakse organisatsiooni vajaliku
pädevusega valdkondlikud spetsialistid (teatud juhul isegi vajaliku kutsetunnistusega).
Pole võimalik eeldada ja puudub ka vajadus, et asutuse juhtorgan omandaks lühikese
koolituse järgselt näiteks järgmised erioskused: a) oskus töötada välja asjakohased meetmed
küberriskide leevendamiseks, b) oskus juhtida küberkriiside lahendamist, c) oskus koostada
ja testida küberintsidentide haldamisplaani jne. Samas on mõistetav, et asutuse juhil on
vajalik omada kübervaldkonna riskidest piisavat ülevaadet. Võib eeldada, et vajalikest
riskidest saadakse ülevaade esimesel võimalusel, mistõttu puudub vajadus teatud
regulaarsuse kehtestamiseks. Samas kui võtta paralleel kutsesüsteemiga, siis seal toimub
pädevuste taastõendamine üldjuhul iga 5 aasta järgselt.
Lisaks teeme ettepaneku, et sellise ülevaatliku küberkoolituse võiks juhtorganile teha ka
ettevõtte IT-juht või vastutav turbespetsialist. Vastava täpsustuse võiks seletuskirjas välja
tuua, et vältida hilisemaid vaidlusi ning tõlgendusi.
3. Ettekirjutused ja järelvalve
Juba varasemalt viitasime, et sellisele suurele hulgale subjektidele (ca 5500 organisatsiooni)
riikliku järelevalve korraldamine pole usutavalt realistlik ning võib eeldada, et see muutub
juhuse vms asjaolu põhiseks.
Samas on eelnõus on märgitud, et riikliku ja haldusjärelevalvemenetluse käigus ettekirjutuse
täitmata jätmise korral on asendustäitmise ja sunniraha seaduses sätestatud korras
rakendatava sunniraha kohaldamise igakordne ülemmäär 7 000 000 eurot või kuni 1,4
protsenti teenuse osutaja omanikust ettevõtja eelmise majandusaasta ülemaailmsest aastasest
kogukäibest, olenevalt sellest, kumb summa on suurem.
Eelnõu punktis 58 on välja toodud, et juriidilisest isikust olulist üksust karistatakse
rahatrahviga kuni 7 000 000 eurot või kuni 1,4 protsenti olulise üksuse omanikust ettevõtja
eelmise majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa
on suurem. Elutähtsa üksuse korral on rahatrahvi suurus kuni 10 000 000 eurot või kuni 2
protsenti elutähtsa üksuse omanikust ettevõtja eelmise majandusaasta ülemaailmsest
aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.
Juhime tähelepanu, et paljude Eesti elutähtsa teenuse osutajate jaoks on selliste summade
tasumine võimatu. Sisuliselt tähendaks see ettevõtte ja teenuse osutaja pankrotti.
Reguleeritud sektorites on tulukus reguleeritud ning mitmete ettevõtete aastakäive võib olla
väiksem kui eelnõus väljatoodud 10 mln eurot.
Sellest tulenevalt teeme ettepaneku muuta sunniraha ja trahvisummad realistlikumaks
arvestades Eesti ettevõtete ja teenuseosutajate suurusi ning reguleeritud sektorite eripärasid.
Samuti tuleb arvesse võtta esinenud riski ja rikkumise proportsionaalsuse põhimõtet.
Loodame, et meie toodud ettepanekuid on võimalik seaduse täiendamisel arvestada ning
vajadusel oleme valmis täiendavalt selgitama.
Lugupidamisega
(Allkirjastatud digitaalselt)
Siim Umbleja
Juhatuse liige
5165943
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|