Arvamuse edastamine
| Dokumendiregister | Justiitsministeerium |
| Viit | 8-2/8641 |
| Registreeritud | 03.02.2025 |
| Sünkroonitud | 04.02.2025 |
| Liik | Sissetulev kiri |
| Funktsioon | 8 Eelnõude menetlemine |
| Sari | 8-2 Arvamused teiste ministeeriumide eelnõudele (arvamused, memod, kirjavahetus) |
| Toimik | 8-2/2024 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Eesti Kaubandus-Tööstuskoda |
| Saabumis/saatmisviis | Eesti Kaubandus-Tööstuskoda |
| Vastutaja | Raavo Palu (Justiits- ja Digiministeerium, Kantsleri vastutusvaldkond, Digitaristu- ja küberturvalisuse osakond, Riikliku küberturvalisuse talitus) |
| Originaal | Ava uues aknas |
Failid
Digiallkirjad
Allkirjade kehtivust ei ole
kontrollitud.
MAIT PALTS
PNOEE-37908100264
2025-01-31 16:39:11
Justiits- ja Digiministeerium Teie 09.12.2024 nr 2-2/3131-1
[email protected] Meie 31.01.2025 nr 4/15
Arvamuse esitamine küberturvalisuse seaduse ja
teiste seaduste muutmise seaduse eelnõu kohta
Lugupeetud Liisa-Ly Pakosta!
Eesti Kaubandus-Tööstuskoda (edaspidi: Kaubanduskoda) tänab Justiits- ja Digiministeeriumit võimaluse eest avaldada arvamust küberturvalisuse seaduse ja teiste seaduste muutmise seaduse eelnõu kohta, millega võetakse Eesti õigusesse üle direktiiv (EL) 2018/1972 ehk NIS2 direktiiv. Oleme eelnõuga tutvunud ning esitame järgnevalt enda seisukohad eelnõu kohta:
1. Subjektid
1.1. Üheks suurimaks muudatuseks, mis eelnõu endaga kaasa toob, on küberturvalisuse seaduse (edaspidi KüTS) subjektide nimekirja täiendamine (eelnõu § 1 p 1). Eelnõuga säilitatakse kehtiva KüTSi subjektid ning lisanduvad ennekõike need uued üksused, kes on ette nähtud NIS2 direktiivi kohaselt. Kaubanduskoda tunneb muret KüTS-i kohaldamisala on laiendatud oluliselt rohkem kui NIS2 direktiivi artikkel 2 nõuab. Eelnõu koostajad on hetkel valinud lähenemisviisi, mille tulemusel peavad ettevõtted, kelle üks teenus kuulub NIS2 direktiivis nimetatud sektoritesse, eelnõus sätestatud meetmed kohaldama kogu oma tegevusele, mitte üksnes NIS2 direktiivis nimetatud teenuste osutamisele. Selle tulemusel võib KüTS-i subjektideks langeda ettevõtted, kelle tegevusest väga väike osa moodustab selline tegevus, mis muudaks ta KüTS-i subjektiks. Leiame, et selline laiendamine ei ole põhjendatud ning võib osadele ettevõtetele tuua kaasa ebavajalikult mahukad KüTS-i nõuded. Lisaks leiame, et sellise subjektide nimekirja laiendamise tulemusel võib ettevõtetel endal olla väga keeruline mõista ja hinnata,kas nad hakkavad olema KüTS-i subjektid ehk keeruline on tuvastada, millised ettevõtted on KüTS-i subjektid ja millised mitte.
Eelnõu näeb KüTS-i subjektiks langemise suhtes ette teatud välistavad tingimused. Näiteks kohaldamisalast on välja jäetud mikro- ja väikeettevõtjad teatavate erisustega. Lisaks sätestab eelnõu, et eelnõu § 1 p 1 loetletud tegevusaladel tegutsevad ettevõtted on KüTS-i subjketid siis, kui ettevõttel on majandusaasta jooksul keskmiselt 50 või rohkem töötajat ja kelle aasta bilansimaht või aastakäive ületab 10 miljonit eurot.
Arvestades neid nüansse, mis välistab teatud ettevõtete langemise KüTS-i subjektiks ning asjaolu, et eelnõuga on otsustatud KüTS-i kohaldamisala oluliselt rohkem laiendada kui NIS2 direktiiv ette näeb, siis on oluline ka vaadata praktilist poolt ja sõnastada eelnõu selliselt, et oleks välistatud see, et KüTS-i subjektideks langeksid ettevõtted, kelle tegevusest väga väike osa moodustab sellest tegevusest, mis muudaks ta KüTS-i subjektiks. Näiteks on eelnõu kohaselt KüTS-i subjektiks toidukäitlemisettevõtjad, kui ettevõttel on majandusaasta jooksul keskmiselt 50 või rohkem töötajat ja kelle aasta bilansimaht või aastakäive ületab 10 miljonit eurot. Samas võib sellele tingimusele vastata ka ettevõte, kelle põhitegevusala ei ole toidukäitlemine ehk näiteks toidukäitlemine moodustab väga väikese osa ettevõtte tegevusest, aga sõltumata sellest muutuks ta KüTS-i subjektiks. Selle olukorra lahendamiseks oleks võimalik näiteks sätestada, et toidukäitlemisettevõtetest lähevad KüTS-I subjektide alla need ettevõtted, kelle töötajate arv on üle 50 ning aastakäive üle 10 miljoni euro ja kui nende põhitegevusalaks on toidu tööstuslik tootmine, toidu tööstuslik töötlemine või toidu hulgikaubandus ja nimetatud tegevuste osutamisest saadav aastakäive ületab 50% ettevõte aastakäibest. Selline lisatingimus aitaks KüTS-i skoobi alt välistada need ettevõtted, kelle tegevusest tegelikult suurem osa ei puuduta toiduainekäitlemist.
Lisaks on oluline, et oleks tagatud see, et mikro- ja väikeettevõtted ei satuks KüTS-i subjektide hulka ka näiteks läbi kontserni kuulumise. Oluline on vältida seda, et mahukad ja suured KüTS-i nõuded hakkaksid kehtima nendele ettevõtetele, kellele need tegelikult kehtima ei peaks ja kes neid nõudeid ka võibolla täita ei suuda.
Eeltoodut arvestades on Kaubanduskoda seisukohal, et on väga oluline, et eelnõust tuleks lihtsalt ja selgelt välja see, kellele KüTS-i nõuded hakkavad kohalduma ehk kes on KüTS-I subjektid. Lisaks leiab Kaubanduskoda, et eelnõuga ei tohi laiendada NIS2 direktiivi kohaldamisala, sest selle tulemusel võivad väga paljud ettevõtted muutuda KüTS-I subjektiks isegi siis, kui nende tegevusest ainult väike osa on seotud sellise tegevusega, mis langev KüTS-i kohaldamisalasse.
1.2. Eelnõu § 1 p 1 all olev KüTS § 16 lubab Vabariigi Valitsuse määrusega lisada uusi KüTS-i subjekte. Kaubanduskoda ei toeta sellise sätte olemasolu eelnõus, kuna see ei taga võrdsust subjektide vahel. Kui enamus KüTS-i subjekte on määratud seaduse alusel ja samas on Vabariigi Valitsuse määrusega võimalik määrata ka uusi subjekte, siis ei ole see meie hinnangul asjakohane. Selliste ulatuslike kohustuste panemine peab toimuma ühtsetel alustel ehk seaduse alusel.
Kaubanduskoda palub eelnõust välja jätte § 1 p 1 all olev KüTS § 16, mille alusel on Vabariigi Valitsusel õigus määrusega lisada uusi sektoreid või valdkondi, kellele hakkaksid KüTS-i nõuded kohalduma.
2. Mõjuanalüüs
Kaubanduskoda tunneb muret eelnõu mõjuanalüüsi suhtes, kuna see on puudulik. Eelnõu seletuskirja lk-l 11 on välja toodud, et “Üldistatult saab kokku võtta, et olemasolevaid subjekte on 3537 ning uusi subjekte on u 2000 ehk kokku on u 5500 subjekti, kellele küberturvalisuse seaduse nõuded hakkavad kohalduma. Nende arvude puhul tuleb arvestada ka asjaoluga, et ilmselt osad subjektid vastavad mitmele tunnusele: näiteks tegemist on elutähtsa teenuse osutajaga ning samal ajal ka üldkasutatava elektroonilise side võrgu pakkujaga; või tegemist on vee-ettevõtjaga, kes samal ajal tegutseb ka reovee valdkonnas.” Lisaks on seletuskirja lk-l 129 täpsustatud, et “Samuti tuleb ka arvestada võimalusega, et esialgne analüüs subjektide arvu osas toetub poolikutele algandmetele või eeldustele, mistõttu on ka eespool märgitud, et eelnõu koostajatena ootame tagasisidet, kas esialgsed arvud on õiged või õiges suurusjärgus”.
Nagu eelnõu seletuskirja tekstist nähtub, siis ei ole eelnõu koostajatele hetkel täielikult ikkagi selge, kui palju uusi subjekte hakkab olema ning kes tegelikult täpselt nende nõuete alla lähevad. Sama toodi välja ka 23.01.2025 toimunud Küberturvalisuse seminaril. Soovime rõhutada, et kui eelnõu väljatöötamisel on jäädud hätta sellega, et tuvastada subjektide ringi, kellele nõuded kohalduma hakkavad, siis on ilmselt ka ettevõtetel endil väga keeruline mõista, kas nad on KüTS-i subjektid või mitte. Muuhulgas on sellest tulenevalt ka keeruline ning pea võimatu hinnata eelnõu mõjusid, kui ei ole üheselt selge ja teada, kellele ning kui paljudele ettevõtetele hakkavad kohalduma KüTS-I nõuded.
Lisaks ei ole näiteks eelnõu mõjuanalüüsis käsitletud seda, kui suured kulud kaasnevad nendele ettevõtetele, kes varasemalt ei olnud KüTS-i subjektid, kuid uuete nõuete kohaselt on. Oluline on hinnata, kui suured kulutused uute nõuetega kaasnevad ning kas ettevõtted suudavaid neid täita üleminekuperioodi jooksul. Kuigi eelnõu seletuskirja lk-l 3 on öeldud, et “Majanduslik mõju igale subjektile on väga erinev ning seda ei ole eelnõuga võimalik mõistlikult hinnata”, siis Kaubanduskoda leiab, et nii suure mõjuga eelnõu osas on hädavajalik toestada majandusliku mõju analüüs, et näha kuidas ja kas ettevõtted suudavad KüTS-i nõuetega toime tulla ning kuidas nende nõuete täitmine hakkab ettevõtete tegevust üleüldiselt mõjutama. Seega, kuna mõjutatud isikute ring ja mõjud ise on suured, siis on hädavajalik, et eelnõu sisaldaks korralikku ja põhjendattud mõjuanalüüsi.
Kaubanduskoja hinnangul on oluline seletuskirjas olevat mõjuanalüüsi täiendada, et oleks võimalik praegusest paremini hinnata kaasnevaid mõjusid ettevõtetele ning näha, kui suutlikud on ettevõtted oma kohustusi täitma ning millised on uute kohustustega kaasnevad tagajärgjed.
3. Üleminekuperiood
Eelnõu tutvustusüritusel tõi Justiits- ja Diiministeerium välja, et üleminekuaja KüTS-i nõuete rakendamisele uutele KüTS-i subjektidele on 3 aastat, kuid erisus on neile üksustele, kes said elutähtsa teenuste osutajateks pärast 18.10.2024. Sellisel juhul on üleminekuaeg 5 aastast. Samas toodi ka välja, et üleminekuaega ei ole nendele ettevõtetele, kes on juba praegu KüTS-i subjektid. Samas eelnõus endas rakendusaegasid täpselt sätestatud ei ole ning eelnõu § 11 ütleb, et kogu seadus jõustub 1. juulil 2025. Kaubanduskoja hinnangul on oluline, et üleminekuajad nõuete rakendamise osas oleksid selgelt eelnõus sätestatud.
4. Arvestades eelkirjutatud soovib Kaubanduskoda rõhutada, et oluline on tagada kõigile ettevõtetele üleminekuaeg ehk ka neile, kes on juba praegu KüTS-i subjektid. Leiame, et üleminekuaeg peab olema tagatud ka olemaoslevatele subjektidele, sest ka neile tuleb eelnõuga uusi kohustusi, mida nad varem täitma ei pidanud. Kuna KüTS-i eelnõu toob kaasa muudatusi kõikidele subjektidele, siis on oluline tagada vähemalt 3 aastane rakendamisaeg kõikide subjektide suhtes.
Lugupidamisega
/allkirjastatud digitaalselt/
Mait Palts
Eesti Kaubandus-Tööstuskoja peadirektor
Ireen Tarto
[email protected]
+372 604 0072
Justiits- ja Digiministeerium Teie 09.12.2024 nr 2-2/3131-1
[email protected] Meie 31.01.2025 nr 4/15
Arvamuse esitamine küberturvalisuse seaduse ja
teiste seaduste muutmise seaduse eelnõu kohta
Lugupeetud Liisa-Ly Pakosta!
Eesti Kaubandus-Tööstuskoda (edaspidi: Kaubanduskoda) tänab Justiits- ja Digiministeeriumit võimaluse eest avaldada arvamust küberturvalisuse seaduse ja teiste seaduste muutmise seaduse eelnõu kohta, millega võetakse Eesti õigusesse üle direktiiv (EL) 2018/1972 ehk NIS2 direktiiv. Oleme eelnõuga tutvunud ning esitame järgnevalt enda seisukohad eelnõu kohta:
1. Subjektid
1.1. Üheks suurimaks muudatuseks, mis eelnõu endaga kaasa toob, on küberturvalisuse seaduse (edaspidi KüTS) subjektide nimekirja täiendamine (eelnõu § 1 p 1). Eelnõuga säilitatakse kehtiva KüTSi subjektid ning lisanduvad ennekõike need uued üksused, kes on ette nähtud NIS2 direktiivi kohaselt. Kaubanduskoda tunneb muret KüTS-i kohaldamisala on laiendatud oluliselt rohkem kui NIS2 direktiivi artikkel 2 nõuab. Eelnõu koostajad on hetkel valinud lähenemisviisi, mille tulemusel peavad ettevõtted, kelle üks teenus kuulub NIS2 direktiivis nimetatud sektoritesse, eelnõus sätestatud meetmed kohaldama kogu oma tegevusele, mitte üksnes NIS2 direktiivis nimetatud teenuste osutamisele. Selle tulemusel võib KüTS-i subjektideks langeda ettevõtted, kelle tegevusest väga väike osa moodustab selline tegevus, mis muudaks ta KüTS-i subjektiks. Leiame, et selline laiendamine ei ole põhjendatud ning võib osadele ettevõtetele tuua kaasa ebavajalikult mahukad KüTS-i nõuded. Lisaks leiame, et sellise subjektide nimekirja laiendamise tulemusel võib ettevõtetel endal olla väga keeruline mõista ja hinnata,kas nad hakkavad olema KüTS-i subjektid ehk keeruline on tuvastada, millised ettevõtted on KüTS-i subjektid ja millised mitte.
Eelnõu näeb KüTS-i subjektiks langemise suhtes ette teatud välistavad tingimused. Näiteks kohaldamisalast on välja jäetud mikro- ja väikeettevõtjad teatavate erisustega. Lisaks sätestab eelnõu, et eelnõu § 1 p 1 loetletud tegevusaladel tegutsevad ettevõtted on KüTS-i subjketid siis, kui ettevõttel on majandusaasta jooksul keskmiselt 50 või rohkem töötajat ja kelle aasta bilansimaht või aastakäive ületab 10 miljonit eurot.
Arvestades neid nüansse, mis välistab teatud ettevõtete langemise KüTS-i subjektiks ning asjaolu, et eelnõuga on otsustatud KüTS-i kohaldamisala oluliselt rohkem laiendada kui NIS2 direktiiv ette näeb, siis on oluline ka vaadata praktilist poolt ja sõnastada eelnõu selliselt, et oleks välistatud see, et KüTS-i subjektideks langeksid ettevõtted, kelle tegevusest väga väike osa moodustab sellest tegevusest, mis muudaks ta KüTS-i subjektiks. Näiteks on eelnõu kohaselt KüTS-i subjektiks toidukäitlemisettevõtjad, kui ettevõttel on majandusaasta jooksul keskmiselt 50 või rohkem töötajat ja kelle aasta bilansimaht või aastakäive ületab 10 miljonit eurot. Samas võib sellele tingimusele vastata ka ettevõte, kelle põhitegevusala ei ole toidukäitlemine ehk näiteks toidukäitlemine moodustab väga väikese osa ettevõtte tegevusest, aga sõltumata sellest muutuks ta KüTS-i subjektiks. Selle olukorra lahendamiseks oleks võimalik näiteks sätestada, et toidukäitlemisettevõtetest lähevad KüTS-I subjektide alla need ettevõtted, kelle töötajate arv on üle 50 ning aastakäive üle 10 miljoni euro ja kui nende põhitegevusalaks on toidu tööstuslik tootmine, toidu tööstuslik töötlemine või toidu hulgikaubandus ja nimetatud tegevuste osutamisest saadav aastakäive ületab 50% ettevõte aastakäibest. Selline lisatingimus aitaks KüTS-i skoobi alt välistada need ettevõtted, kelle tegevusest tegelikult suurem osa ei puuduta toiduainekäitlemist.
Lisaks on oluline, et oleks tagatud see, et mikro- ja väikeettevõtted ei satuks KüTS-i subjektide hulka ka näiteks läbi kontserni kuulumise. Oluline on vältida seda, et mahukad ja suured KüTS-i nõuded hakkaksid kehtima nendele ettevõtetele, kellele need tegelikult kehtima ei peaks ja kes neid nõudeid ka võibolla täita ei suuda.
Eeltoodut arvestades on Kaubanduskoda seisukohal, et on väga oluline, et eelnõust tuleks lihtsalt ja selgelt välja see, kellele KüTS-i nõuded hakkavad kohalduma ehk kes on KüTS-I subjektid. Lisaks leiab Kaubanduskoda, et eelnõuga ei tohi laiendada NIS2 direktiivi kohaldamisala, sest selle tulemusel võivad väga paljud ettevõtted muutuda KüTS-I subjektiks isegi siis, kui nende tegevusest ainult väike osa on seotud sellise tegevusega, mis langev KüTS-i kohaldamisalasse.
1.2. Eelnõu § 1 p 1 all olev KüTS § 16 lubab Vabariigi Valitsuse määrusega lisada uusi KüTS-i subjekte. Kaubanduskoda ei toeta sellise sätte olemasolu eelnõus, kuna see ei taga võrdsust subjektide vahel. Kui enamus KüTS-i subjekte on määratud seaduse alusel ja samas on Vabariigi Valitsuse määrusega võimalik määrata ka uusi subjekte, siis ei ole see meie hinnangul asjakohane. Selliste ulatuslike kohustuste panemine peab toimuma ühtsetel alustel ehk seaduse alusel.
Kaubanduskoda palub eelnõust välja jätte § 1 p 1 all olev KüTS § 16, mille alusel on Vabariigi Valitsusel õigus määrusega lisada uusi sektoreid või valdkondi, kellele hakkaksid KüTS-i nõuded kohalduma.
2. Mõjuanalüüs
Kaubanduskoda tunneb muret eelnõu mõjuanalüüsi suhtes, kuna see on puudulik. Eelnõu seletuskirja lk-l 11 on välja toodud, et “Üldistatult saab kokku võtta, et olemasolevaid subjekte on 3537 ning uusi subjekte on u 2000 ehk kokku on u 5500 subjekti, kellele küberturvalisuse seaduse nõuded hakkavad kohalduma. Nende arvude puhul tuleb arvestada ka asjaoluga, et ilmselt osad subjektid vastavad mitmele tunnusele: näiteks tegemist on elutähtsa teenuse osutajaga ning samal ajal ka üldkasutatava elektroonilise side võrgu pakkujaga; või tegemist on vee-ettevõtjaga, kes samal ajal tegutseb ka reovee valdkonnas.” Lisaks on seletuskirja lk-l 129 täpsustatud, et “Samuti tuleb ka arvestada võimalusega, et esialgne analüüs subjektide arvu osas toetub poolikutele algandmetele või eeldustele, mistõttu on ka eespool märgitud, et eelnõu koostajatena ootame tagasisidet, kas esialgsed arvud on õiged või õiges suurusjärgus”.
Nagu eelnõu seletuskirja tekstist nähtub, siis ei ole eelnõu koostajatele hetkel täielikult ikkagi selge, kui palju uusi subjekte hakkab olema ning kes tegelikult täpselt nende nõuete alla lähevad. Sama toodi välja ka 23.01.2025 toimunud Küberturvalisuse seminaril. Soovime rõhutada, et kui eelnõu väljatöötamisel on jäädud hätta sellega, et tuvastada subjektide ringi, kellele nõuded kohalduma hakkavad, siis on ilmselt ka ettevõtetel endil väga keeruline mõista, kas nad on KüTS-i subjektid või mitte. Muuhulgas on sellest tulenevalt ka keeruline ning pea võimatu hinnata eelnõu mõjusid, kui ei ole üheselt selge ja teada, kellele ning kui paljudele ettevõtetele hakkavad kohalduma KüTS-I nõuded.
Lisaks ei ole näiteks eelnõu mõjuanalüüsis käsitletud seda, kui suured kulud kaasnevad nendele ettevõtetele, kes varasemalt ei olnud KüTS-i subjektid, kuid uuete nõuete kohaselt on. Oluline on hinnata, kui suured kulutused uute nõuetega kaasnevad ning kas ettevõtted suudavaid neid täita üleminekuperioodi jooksul. Kuigi eelnõu seletuskirja lk-l 3 on öeldud, et “Majanduslik mõju igale subjektile on väga erinev ning seda ei ole eelnõuga võimalik mõistlikult hinnata”, siis Kaubanduskoda leiab, et nii suure mõjuga eelnõu osas on hädavajalik toestada majandusliku mõju analüüs, et näha kuidas ja kas ettevõtted suudavad KüTS-i nõuetega toime tulla ning kuidas nende nõuete täitmine hakkab ettevõtete tegevust üleüldiselt mõjutama. Seega, kuna mõjutatud isikute ring ja mõjud ise on suured, siis on hädavajalik, et eelnõu sisaldaks korralikku ja põhjendattud mõjuanalüüsi.
Kaubanduskoja hinnangul on oluline seletuskirjas olevat mõjuanalüüsi täiendada, et oleks võimalik praegusest paremini hinnata kaasnevaid mõjusid ettevõtetele ning näha, kui suutlikud on ettevõtted oma kohustusi täitma ning millised on uute kohustustega kaasnevad tagajärgjed.
3. Üleminekuperiood
Eelnõu tutvustusüritusel tõi Justiits- ja Diiministeerium välja, et üleminekuaja KüTS-i nõuete rakendamisele uutele KüTS-i subjektidele on 3 aastat, kuid erisus on neile üksustele, kes said elutähtsa teenuste osutajateks pärast 18.10.2024. Sellisel juhul on üleminekuaeg 5 aastast. Samas toodi ka välja, et üleminekuaega ei ole nendele ettevõtetele, kes on juba praegu KüTS-i subjektid. Samas eelnõus endas rakendusaegasid täpselt sätestatud ei ole ning eelnõu § 11 ütleb, et kogu seadus jõustub 1. juulil 2025. Kaubanduskoja hinnangul on oluline, et üleminekuajad nõuete rakendamise osas oleksid selgelt eelnõus sätestatud.
4. Arvestades eelkirjutatud soovib Kaubanduskoda rõhutada, et oluline on tagada kõigile ettevõtetele üleminekuaeg ehk ka neile, kes on juba praegu KüTS-i subjektid. Leiame, et üleminekuaeg peab olema tagatud ka olemaoslevatele subjektidele, sest ka neile tuleb eelnõuga uusi kohustusi, mida nad varem täitma ei pidanud. Kuna KüTS-i eelnõu toob kaasa muudatusi kõikidele subjektidele, siis on oluline tagada vähemalt 3 aastane rakendamisaeg kõikide subjektide suhtes.
Lugupidamisega
/allkirjastatud digitaalselt/
Mait Palts
Eesti Kaubandus-Tööstuskoja peadirektor
Ireen Tarto
[email protected]
+372 604 0072
Tähelepanu! Tegemist on välisvõrgust saabunud kirjaga. |
Tähelepanu! Tegemist on välisvõrgust saabunud kirjaga. |
Tere!
Edastan Eesti Kaubandus-Tööstuskoja arvamuse küberturvalisuse seaduse ja teiste seaduste muutmise seaduse eelnõu kohta.
Lugupidamisega
|
Digiallkirjad
Allkirjade kehtivust ei ole
kontrollitud.
MAIT PALTS
PNOEE-37908100264
2025-01-31 16:39:11
Justiits- ja Digiministeerium Teie 09.12.2024 nr 2-2/3131-1
[email protected] Meie 31.01.2025 nr 4/15
Arvamuse esitamine küberturvalisuse seaduse ja
teiste seaduste muutmise seaduse eelnõu kohta
Lugupeetud Liisa-Ly Pakosta!
Eesti Kaubandus-Tööstuskoda (edaspidi: Kaubanduskoda) tänab Justiits- ja Digiministeeriumit võimaluse eest avaldada arvamust küberturvalisuse seaduse ja teiste seaduste muutmise seaduse eelnõu kohta, millega võetakse Eesti õigusesse üle direktiiv (EL) 2018/1972 ehk NIS2 direktiiv. Oleme eelnõuga tutvunud ning esitame järgnevalt enda seisukohad eelnõu kohta:
1. Subjektid
1.1. Üheks suurimaks muudatuseks, mis eelnõu endaga kaasa toob, on küberturvalisuse seaduse (edaspidi KüTS) subjektide nimekirja täiendamine (eelnõu § 1 p 1). Eelnõuga säilitatakse kehtiva KüTSi subjektid ning lisanduvad ennekõike need uued üksused, kes on ette nähtud NIS2 direktiivi kohaselt. Kaubanduskoda tunneb muret KüTS-i kohaldamisala on laiendatud oluliselt rohkem kui NIS2 direktiivi artikkel 2 nõuab. Eelnõu koostajad on hetkel valinud lähenemisviisi, mille tulemusel peavad ettevõtted, kelle üks teenus kuulub NIS2 direktiivis nimetatud sektoritesse, eelnõus sätestatud meetmed kohaldama kogu oma tegevusele, mitte üksnes NIS2 direktiivis nimetatud teenuste osutamisele. Selle tulemusel võib KüTS-i subjektideks langeda ettevõtted, kelle tegevusest väga väike osa moodustab selline tegevus, mis muudaks ta KüTS-i subjektiks. Leiame, et selline laiendamine ei ole põhjendatud ning võib osadele ettevõtetele tuua kaasa ebavajalikult mahukad KüTS-i nõuded. Lisaks leiame, et sellise subjektide nimekirja laiendamise tulemusel võib ettevõtetel endal olla väga keeruline mõista ja hinnata,kas nad hakkavad olema KüTS-i subjektid ehk keeruline on tuvastada, millised ettevõtted on KüTS-i subjektid ja millised mitte.
Eelnõu näeb KüTS-i subjektiks langemise suhtes ette teatud välistavad tingimused. Näiteks kohaldamisalast on välja jäetud mikro- ja väikeettevõtjad teatavate erisustega. Lisaks sätestab eelnõu, et eelnõu § 1 p 1 loetletud tegevusaladel tegutsevad ettevõtted on KüTS-i subjketid siis, kui ettevõttel on majandusaasta jooksul keskmiselt 50 või rohkem töötajat ja kelle aasta bilansimaht või aastakäive ületab 10 miljonit eurot.
Arvestades neid nüansse, mis välistab teatud ettevõtete langemise KüTS-i subjektiks ning asjaolu, et eelnõuga on otsustatud KüTS-i kohaldamisala oluliselt rohkem laiendada kui NIS2 direktiiv ette näeb, siis on oluline ka vaadata praktilist poolt ja sõnastada eelnõu selliselt, et oleks välistatud see, et KüTS-i subjektideks langeksid ettevõtted, kelle tegevusest väga väike osa moodustab sellest tegevusest, mis muudaks ta KüTS-i subjektiks. Näiteks on eelnõu kohaselt KüTS-i subjektiks toidukäitlemisettevõtjad, kui ettevõttel on majandusaasta jooksul keskmiselt 50 või rohkem töötajat ja kelle aasta bilansimaht või aastakäive ületab 10 miljonit eurot. Samas võib sellele tingimusele vastata ka ettevõte, kelle põhitegevusala ei ole toidukäitlemine ehk näiteks toidukäitlemine moodustab väga väikese osa ettevõtte tegevusest, aga sõltumata sellest muutuks ta KüTS-i subjektiks. Selle olukorra lahendamiseks oleks võimalik näiteks sätestada, et toidukäitlemisettevõtetest lähevad KüTS-I subjektide alla need ettevõtted, kelle töötajate arv on üle 50 ning aastakäive üle 10 miljoni euro ja kui nende põhitegevusalaks on toidu tööstuslik tootmine, toidu tööstuslik töötlemine või toidu hulgikaubandus ja nimetatud tegevuste osutamisest saadav aastakäive ületab 50% ettevõte aastakäibest. Selline lisatingimus aitaks KüTS-i skoobi alt välistada need ettevõtted, kelle tegevusest tegelikult suurem osa ei puuduta toiduainekäitlemist.
Lisaks on oluline, et oleks tagatud see, et mikro- ja väikeettevõtted ei satuks KüTS-i subjektide hulka ka näiteks läbi kontserni kuulumise. Oluline on vältida seda, et mahukad ja suured KüTS-i nõuded hakkaksid kehtima nendele ettevõtetele, kellele need tegelikult kehtima ei peaks ja kes neid nõudeid ka võibolla täita ei suuda.
Eeltoodut arvestades on Kaubanduskoda seisukohal, et on väga oluline, et eelnõust tuleks lihtsalt ja selgelt välja see, kellele KüTS-i nõuded hakkavad kohalduma ehk kes on KüTS-I subjektid. Lisaks leiab Kaubanduskoda, et eelnõuga ei tohi laiendada NIS2 direktiivi kohaldamisala, sest selle tulemusel võivad väga paljud ettevõtted muutuda KüTS-I subjektiks isegi siis, kui nende tegevusest ainult väike osa on seotud sellise tegevusega, mis langev KüTS-i kohaldamisalasse.
1.2. Eelnõu § 1 p 1 all olev KüTS § 16 lubab Vabariigi Valitsuse määrusega lisada uusi KüTS-i subjekte. Kaubanduskoda ei toeta sellise sätte olemasolu eelnõus, kuna see ei taga võrdsust subjektide vahel. Kui enamus KüTS-i subjekte on määratud seaduse alusel ja samas on Vabariigi Valitsuse määrusega võimalik määrata ka uusi subjekte, siis ei ole see meie hinnangul asjakohane. Selliste ulatuslike kohustuste panemine peab toimuma ühtsetel alustel ehk seaduse alusel.
Kaubanduskoda palub eelnõust välja jätte § 1 p 1 all olev KüTS § 16, mille alusel on Vabariigi Valitsusel õigus määrusega lisada uusi sektoreid või valdkondi, kellele hakkaksid KüTS-i nõuded kohalduma.
2. Mõjuanalüüs
Kaubanduskoda tunneb muret eelnõu mõjuanalüüsi suhtes, kuna see on puudulik. Eelnõu seletuskirja lk-l 11 on välja toodud, et “Üldistatult saab kokku võtta, et olemasolevaid subjekte on 3537 ning uusi subjekte on u 2000 ehk kokku on u 5500 subjekti, kellele küberturvalisuse seaduse nõuded hakkavad kohalduma. Nende arvude puhul tuleb arvestada ka asjaoluga, et ilmselt osad subjektid vastavad mitmele tunnusele: näiteks tegemist on elutähtsa teenuse osutajaga ning samal ajal ka üldkasutatava elektroonilise side võrgu pakkujaga; või tegemist on vee-ettevõtjaga, kes samal ajal tegutseb ka reovee valdkonnas.” Lisaks on seletuskirja lk-l 129 täpsustatud, et “Samuti tuleb ka arvestada võimalusega, et esialgne analüüs subjektide arvu osas toetub poolikutele algandmetele või eeldustele, mistõttu on ka eespool märgitud, et eelnõu koostajatena ootame tagasisidet, kas esialgsed arvud on õiged või õiges suurusjärgus”.
Nagu eelnõu seletuskirja tekstist nähtub, siis ei ole eelnõu koostajatele hetkel täielikult ikkagi selge, kui palju uusi subjekte hakkab olema ning kes tegelikult täpselt nende nõuete alla lähevad. Sama toodi välja ka 23.01.2025 toimunud Küberturvalisuse seminaril. Soovime rõhutada, et kui eelnõu väljatöötamisel on jäädud hätta sellega, et tuvastada subjektide ringi, kellele nõuded kohalduma hakkavad, siis on ilmselt ka ettevõtetel endil väga keeruline mõista, kas nad on KüTS-i subjektid või mitte. Muuhulgas on sellest tulenevalt ka keeruline ning pea võimatu hinnata eelnõu mõjusid, kui ei ole üheselt selge ja teada, kellele ning kui paljudele ettevõtetele hakkavad kohalduma KüTS-I nõuded.
Lisaks ei ole näiteks eelnõu mõjuanalüüsis käsitletud seda, kui suured kulud kaasnevad nendele ettevõtetele, kes varasemalt ei olnud KüTS-i subjektid, kuid uuete nõuete kohaselt on. Oluline on hinnata, kui suured kulutused uute nõuetega kaasnevad ning kas ettevõtted suudavaid neid täita üleminekuperioodi jooksul. Kuigi eelnõu seletuskirja lk-l 3 on öeldud, et “Majanduslik mõju igale subjektile on väga erinev ning seda ei ole eelnõuga võimalik mõistlikult hinnata”, siis Kaubanduskoda leiab, et nii suure mõjuga eelnõu osas on hädavajalik toestada majandusliku mõju analüüs, et näha kuidas ja kas ettevõtted suudavad KüTS-i nõuetega toime tulla ning kuidas nende nõuete täitmine hakkab ettevõtete tegevust üleüldiselt mõjutama. Seega, kuna mõjutatud isikute ring ja mõjud ise on suured, siis on hädavajalik, et eelnõu sisaldaks korralikku ja põhjendattud mõjuanalüüsi.
Kaubanduskoja hinnangul on oluline seletuskirjas olevat mõjuanalüüsi täiendada, et oleks võimalik praegusest paremini hinnata kaasnevaid mõjusid ettevõtetele ning näha, kui suutlikud on ettevõtted oma kohustusi täitma ning millised on uute kohustustega kaasnevad tagajärgjed.
3. Üleminekuperiood
Eelnõu tutvustusüritusel tõi Justiits- ja Diiministeerium välja, et üleminekuaja KüTS-i nõuete rakendamisele uutele KüTS-i subjektidele on 3 aastat, kuid erisus on neile üksustele, kes said elutähtsa teenuste osutajateks pärast 18.10.2024. Sellisel juhul on üleminekuaeg 5 aastast. Samas toodi ka välja, et üleminekuaega ei ole nendele ettevõtetele, kes on juba praegu KüTS-i subjektid. Samas eelnõus endas rakendusaegasid täpselt sätestatud ei ole ning eelnõu § 11 ütleb, et kogu seadus jõustub 1. juulil 2025. Kaubanduskoja hinnangul on oluline, et üleminekuajad nõuete rakendamise osas oleksid selgelt eelnõus sätestatud.
4. Arvestades eelkirjutatud soovib Kaubanduskoda rõhutada, et oluline on tagada kõigile ettevõtetele üleminekuaeg ehk ka neile, kes on juba praegu KüTS-i subjektid. Leiame, et üleminekuaeg peab olema tagatud ka olemaoslevatele subjektidele, sest ka neile tuleb eelnõuga uusi kohustusi, mida nad varem täitma ei pidanud. Kuna KüTS-i eelnõu toob kaasa muudatusi kõikidele subjektidele, siis on oluline tagada vähemalt 3 aastane rakendamisaeg kõikide subjektide suhtes.
Lugupidamisega
/allkirjastatud digitaalselt/
Mait Palts
Eesti Kaubandus-Tööstuskoja peadirektor
Ireen Tarto
[email protected]
+372 604 0072
Justiits- ja Digiministeerium Teie 09.12.2024 nr 2-2/3131-1
[email protected] Meie 31.01.2025 nr 4/15
Arvamuse esitamine küberturvalisuse seaduse ja
teiste seaduste muutmise seaduse eelnõu kohta
Lugupeetud Liisa-Ly Pakosta!
Eesti Kaubandus-Tööstuskoda (edaspidi: Kaubanduskoda) tänab Justiits- ja Digiministeeriumit võimaluse eest avaldada arvamust küberturvalisuse seaduse ja teiste seaduste muutmise seaduse eelnõu kohta, millega võetakse Eesti õigusesse üle direktiiv (EL) 2018/1972 ehk NIS2 direktiiv. Oleme eelnõuga tutvunud ning esitame järgnevalt enda seisukohad eelnõu kohta:
1. Subjektid
1.1. Üheks suurimaks muudatuseks, mis eelnõu endaga kaasa toob, on küberturvalisuse seaduse (edaspidi KüTS) subjektide nimekirja täiendamine (eelnõu § 1 p 1). Eelnõuga säilitatakse kehtiva KüTSi subjektid ning lisanduvad ennekõike need uued üksused, kes on ette nähtud NIS2 direktiivi kohaselt. Kaubanduskoda tunneb muret KüTS-i kohaldamisala on laiendatud oluliselt rohkem kui NIS2 direktiivi artikkel 2 nõuab. Eelnõu koostajad on hetkel valinud lähenemisviisi, mille tulemusel peavad ettevõtted, kelle üks teenus kuulub NIS2 direktiivis nimetatud sektoritesse, eelnõus sätestatud meetmed kohaldama kogu oma tegevusele, mitte üksnes NIS2 direktiivis nimetatud teenuste osutamisele. Selle tulemusel võib KüTS-i subjektideks langeda ettevõtted, kelle tegevusest väga väike osa moodustab selline tegevus, mis muudaks ta KüTS-i subjektiks. Leiame, et selline laiendamine ei ole põhjendatud ning võib osadele ettevõtetele tuua kaasa ebavajalikult mahukad KüTS-i nõuded. Lisaks leiame, et sellise subjektide nimekirja laiendamise tulemusel võib ettevõtetel endal olla väga keeruline mõista ja hinnata,kas nad hakkavad olema KüTS-i subjektid ehk keeruline on tuvastada, millised ettevõtted on KüTS-i subjektid ja millised mitte.
Eelnõu näeb KüTS-i subjektiks langemise suhtes ette teatud välistavad tingimused. Näiteks kohaldamisalast on välja jäetud mikro- ja väikeettevõtjad teatavate erisustega. Lisaks sätestab eelnõu, et eelnõu § 1 p 1 loetletud tegevusaladel tegutsevad ettevõtted on KüTS-i subjketid siis, kui ettevõttel on majandusaasta jooksul keskmiselt 50 või rohkem töötajat ja kelle aasta bilansimaht või aastakäive ületab 10 miljonit eurot.
Arvestades neid nüansse, mis välistab teatud ettevõtete langemise KüTS-i subjektiks ning asjaolu, et eelnõuga on otsustatud KüTS-i kohaldamisala oluliselt rohkem laiendada kui NIS2 direktiiv ette näeb, siis on oluline ka vaadata praktilist poolt ja sõnastada eelnõu selliselt, et oleks välistatud see, et KüTS-i subjektideks langeksid ettevõtted, kelle tegevusest väga väike osa moodustab sellest tegevusest, mis muudaks ta KüTS-i subjektiks. Näiteks on eelnõu kohaselt KüTS-i subjektiks toidukäitlemisettevõtjad, kui ettevõttel on majandusaasta jooksul keskmiselt 50 või rohkem töötajat ja kelle aasta bilansimaht või aastakäive ületab 10 miljonit eurot. Samas võib sellele tingimusele vastata ka ettevõte, kelle põhitegevusala ei ole toidukäitlemine ehk näiteks toidukäitlemine moodustab väga väikese osa ettevõtte tegevusest, aga sõltumata sellest muutuks ta KüTS-i subjektiks. Selle olukorra lahendamiseks oleks võimalik näiteks sätestada, et toidukäitlemisettevõtetest lähevad KüTS-I subjektide alla need ettevõtted, kelle töötajate arv on üle 50 ning aastakäive üle 10 miljoni euro ja kui nende põhitegevusalaks on toidu tööstuslik tootmine, toidu tööstuslik töötlemine või toidu hulgikaubandus ja nimetatud tegevuste osutamisest saadav aastakäive ületab 50% ettevõte aastakäibest. Selline lisatingimus aitaks KüTS-i skoobi alt välistada need ettevõtted, kelle tegevusest tegelikult suurem osa ei puuduta toiduainekäitlemist.
Lisaks on oluline, et oleks tagatud see, et mikro- ja väikeettevõtted ei satuks KüTS-i subjektide hulka ka näiteks läbi kontserni kuulumise. Oluline on vältida seda, et mahukad ja suured KüTS-i nõuded hakkaksid kehtima nendele ettevõtetele, kellele need tegelikult kehtima ei peaks ja kes neid nõudeid ka võibolla täita ei suuda.
Eeltoodut arvestades on Kaubanduskoda seisukohal, et on väga oluline, et eelnõust tuleks lihtsalt ja selgelt välja see, kellele KüTS-i nõuded hakkavad kohalduma ehk kes on KüTS-I subjektid. Lisaks leiab Kaubanduskoda, et eelnõuga ei tohi laiendada NIS2 direktiivi kohaldamisala, sest selle tulemusel võivad väga paljud ettevõtted muutuda KüTS-I subjektiks isegi siis, kui nende tegevusest ainult väike osa on seotud sellise tegevusega, mis langev KüTS-i kohaldamisalasse.
1.2. Eelnõu § 1 p 1 all olev KüTS § 16 lubab Vabariigi Valitsuse määrusega lisada uusi KüTS-i subjekte. Kaubanduskoda ei toeta sellise sätte olemasolu eelnõus, kuna see ei taga võrdsust subjektide vahel. Kui enamus KüTS-i subjekte on määratud seaduse alusel ja samas on Vabariigi Valitsuse määrusega võimalik määrata ka uusi subjekte, siis ei ole see meie hinnangul asjakohane. Selliste ulatuslike kohustuste panemine peab toimuma ühtsetel alustel ehk seaduse alusel.
Kaubanduskoda palub eelnõust välja jätte § 1 p 1 all olev KüTS § 16, mille alusel on Vabariigi Valitsusel õigus määrusega lisada uusi sektoreid või valdkondi, kellele hakkaksid KüTS-i nõuded kohalduma.
2. Mõjuanalüüs
Kaubanduskoda tunneb muret eelnõu mõjuanalüüsi suhtes, kuna see on puudulik. Eelnõu seletuskirja lk-l 11 on välja toodud, et “Üldistatult saab kokku võtta, et olemasolevaid subjekte on 3537 ning uusi subjekte on u 2000 ehk kokku on u 5500 subjekti, kellele küberturvalisuse seaduse nõuded hakkavad kohalduma. Nende arvude puhul tuleb arvestada ka asjaoluga, et ilmselt osad subjektid vastavad mitmele tunnusele: näiteks tegemist on elutähtsa teenuse osutajaga ning samal ajal ka üldkasutatava elektroonilise side võrgu pakkujaga; või tegemist on vee-ettevõtjaga, kes samal ajal tegutseb ka reovee valdkonnas.” Lisaks on seletuskirja lk-l 129 täpsustatud, et “Samuti tuleb ka arvestada võimalusega, et esialgne analüüs subjektide arvu osas toetub poolikutele algandmetele või eeldustele, mistõttu on ka eespool märgitud, et eelnõu koostajatena ootame tagasisidet, kas esialgsed arvud on õiged või õiges suurusjärgus”.
Nagu eelnõu seletuskirja tekstist nähtub, siis ei ole eelnõu koostajatele hetkel täielikult ikkagi selge, kui palju uusi subjekte hakkab olema ning kes tegelikult täpselt nende nõuete alla lähevad. Sama toodi välja ka 23.01.2025 toimunud Küberturvalisuse seminaril. Soovime rõhutada, et kui eelnõu väljatöötamisel on jäädud hätta sellega, et tuvastada subjektide ringi, kellele nõuded kohalduma hakkavad, siis on ilmselt ka ettevõtetel endil väga keeruline mõista, kas nad on KüTS-i subjektid või mitte. Muuhulgas on sellest tulenevalt ka keeruline ning pea võimatu hinnata eelnõu mõjusid, kui ei ole üheselt selge ja teada, kellele ning kui paljudele ettevõtetele hakkavad kohalduma KüTS-I nõuded.
Lisaks ei ole näiteks eelnõu mõjuanalüüsis käsitletud seda, kui suured kulud kaasnevad nendele ettevõtetele, kes varasemalt ei olnud KüTS-i subjektid, kuid uuete nõuete kohaselt on. Oluline on hinnata, kui suured kulutused uute nõuetega kaasnevad ning kas ettevõtted suudavaid neid täita üleminekuperioodi jooksul. Kuigi eelnõu seletuskirja lk-l 3 on öeldud, et “Majanduslik mõju igale subjektile on väga erinev ning seda ei ole eelnõuga võimalik mõistlikult hinnata”, siis Kaubanduskoda leiab, et nii suure mõjuga eelnõu osas on hädavajalik toestada majandusliku mõju analüüs, et näha kuidas ja kas ettevõtted suudavad KüTS-i nõuetega toime tulla ning kuidas nende nõuete täitmine hakkab ettevõtete tegevust üleüldiselt mõjutama. Seega, kuna mõjutatud isikute ring ja mõjud ise on suured, siis on hädavajalik, et eelnõu sisaldaks korralikku ja põhjendattud mõjuanalüüsi.
Kaubanduskoja hinnangul on oluline seletuskirjas olevat mõjuanalüüsi täiendada, et oleks võimalik praegusest paremini hinnata kaasnevaid mõjusid ettevõtetele ning näha, kui suutlikud on ettevõtted oma kohustusi täitma ning millised on uute kohustustega kaasnevad tagajärgjed.
3. Üleminekuperiood
Eelnõu tutvustusüritusel tõi Justiits- ja Diiministeerium välja, et üleminekuaja KüTS-i nõuete rakendamisele uutele KüTS-i subjektidele on 3 aastat, kuid erisus on neile üksustele, kes said elutähtsa teenuste osutajateks pärast 18.10.2024. Sellisel juhul on üleminekuaeg 5 aastast. Samas toodi ka välja, et üleminekuaega ei ole nendele ettevõtetele, kes on juba praegu KüTS-i subjektid. Samas eelnõus endas rakendusaegasid täpselt sätestatud ei ole ning eelnõu § 11 ütleb, et kogu seadus jõustub 1. juulil 2025. Kaubanduskoja hinnangul on oluline, et üleminekuajad nõuete rakendamise osas oleksid selgelt eelnõus sätestatud.
4. Arvestades eelkirjutatud soovib Kaubanduskoda rõhutada, et oluline on tagada kõigile ettevõtetele üleminekuaeg ehk ka neile, kes on juba praegu KüTS-i subjektid. Leiame, et üleminekuaeg peab olema tagatud ka olemaoslevatele subjektidele, sest ka neile tuleb eelnõuga uusi kohustusi, mida nad varem täitma ei pidanud. Kuna KüTS-i eelnõu toob kaasa muudatusi kõikidele subjektidele, siis on oluline tagada vähemalt 3 aastane rakendamisaeg kõikide subjektide suhtes.
Lugupidamisega
/allkirjastatud digitaalselt/
Mait Palts
Eesti Kaubandus-Tööstuskoja peadirektor
Ireen Tarto
[email protected]
+372 604 0072
Seosed
| Nimi | K.p. | Δ | Viit | Tüüp | Org | Osapooled |
|---|