Arvamuse edastamine

Eesti Ravimihulgimüüjate Liit MTÜ

Harju maakond, Saue vald, Laagri alevik, Vae tn 16 [email protected]

Pr Liisa-Ly Pakosta Justiits- ja digiminister Justiits- ja digiministeerium [email protected]

Teie: 9.12.2024 nr 2-2/3131-1 Meie: 31.1.2025

Arvamus küberturvalisuse seaduse ja teiste seaduste muutmise seaduse eelnõule (küberturvalisuse 2. direktiivi ülevõtmine) Austatud proua minister, Tänan Teid Eesti Ravimihulgimüüjate Liidu poolt NIS2 direktiivi ülevõtmise seaduseelnõu arvamuse andmiseks saatmise eest. Meie hinnangul vajavad eelnõu ja seletuskiri mitmetes küsimustes oluliselt suuremat selgust ning vajadusel ka asjakohaselt täiendamist. Ka eelnõu autorid ise esitavad eelnõu teksti ja selle tõlgendamise kohta seletuskirjas alles küsimusi. Nõustume autoritega, et seda tüüpi aspektid vajavad selgeid vastuseid, milleta on keeruline või võimatu eelnõud lõpuni mõista. Tunnustame ministeeriumit sisulise kaasamise ja avatud arutelu algatamise üle. Samas tähendab see, et faktiliselt on eelnõu veel koostamise faasis ning arvamuse avaldamiseks saadetud tekst alles esimene versioon tulevastest, mitte juba valitsuse ja Riigikogu järgmistesse menetlusetappidesse saatmiseks valmis lõpptekst. Loodetavasti saadab ministeerium eelnõu viimase variandi huvirühmadele tutvumiseks ja vajadusel arvamust avaldamiseks uuesti ka selle lõplikul valmiskujul. Näeme eelnõus järgmiseid põhimõttelisi küsimuskohti:

1. Eelnõu kohaldamisala 1.1 Selget vastust vajab küsimus sellest, kas ja kui, siis mil määral, on riikidel õigus seada täpsustavaid lävendeid NIS2 lisades I ja II nimetatud sektorites-allsektorites tegutsevate üksuste määratlemisel KütS kohaldamisalasse kuuluvaks või sellest välja jätmiseks? Nende määratlemine ning maksimaalselt ära kasutamine peaks olema eelnõu koostamise üheks aluseks. Näiteks muuhulgas, kuid mitte ainult, olukorras, kus

- üksus (juriidiline isik) tervikuna täidab küll KütS kohaldamisala suuruse kriteeriumid,

Eesti Ravimihulgimüüjate Liit MTÜ

Harju maakond, Saue vald, Laagri alevik, Vae tn 16 [email protected]

- kuid tema tegevus NIS2 lisades nimetatud sektorites moodustab vaid osa üksuse kogu majandustegevusest

- ning üksnes selline tegevus eraldivõetuna kohaldamisala suuruse kriteeriumit ära ei täidaks.

Eelnõu tutvustusel 23.1.2025 selgitasid eelnõu autorid, et riikide käsitlused selle aspekti lahendamisel varieeruvad (Läti näide). Ka meile teadaolevalt on Lätis sätestatud erinormid keskmise suurusega teenuse osutajatele, kes kuuluvad küberturvalisuse seaduse kohaldamisalasse vaid juhul, kui küberturvalisuse kontekstis tähendust omav tegevusala kuulub ettevõtte peamiste tegevusalade hulka. Peame seesugust täiendavat piiritlust mõistlikuks ning paluma ka KütS eelnõus kaaluda tegevusalade osas erisuse sätestamist, mis hõlmaks KütS kohaldamisalasse ainult need ettevõtted, kelle peamiseks tegevusalaks on KütS mõistes elutähtsate või oluliste teenuste osutamine. Kindlasti tuleks seesuguseid erisusi arvestada tervishoiu- ja kemikaalivaldkonna tootmis- ja levitamistegevuste puhul. Lisaks võimaldab ka NIS2 direktiiv ise liikmesriikidele teatud ulatuses kaalutlust selle üle, kas näiteks hõlmata mõni sektor KütS kohaldamisalasse olenemata selles tegutseva üksuse suurusest. Seda diskretsiooni on eelnõus ka kasutatud tervishoiuteenuse osutajate puhul – hõlmates kohaldamisalasse perearstid, kuid jättes sellest välja teised tervishoiuteenuse osutajad (N. hambaarstid, kliinilised psühholoogid, teised eriarstiabi osutajad jm). Eelnõu mõistmiseks ja edasiseks menetluseks on kriitiline jõuda selge arusaamani nende lävendite täpsest piirist ja siseriiklikust kaalutlusvabadusest nende piiride seadmisel. Arvestades eelnõu ulatuslikku mõju ettevõtetele tuleks NIS2 ülevõtmisel piirduda direktiivis minimaalselt nõutuga ning maksimaalselt kasutada siseriiklikusse pädevusse jäetud võimalusi KütS kohaldamisala piiramisel. 1.2 Selget vastust vajab ka küsimus sellest, kuidas, kelle initsiatiivil ja mis menetluses toimub üksuste määratlemine KütS kohaldamisalasse kuuluvaks. Eelnõu kohaselt „tuvastab“ teenuse osutajad RIA. Eelnõu näeb selleks ette tähtajad, kuid mitte menetluskorda. Teisalt on teenuse osutajatel kohustus esitada RIA-le teave enda kui teenuse osutaja kohta, ennast teenuse osutajana RIA juures „registreerida“. Samuti tuleb teavitada asjakohastest muutustest. Selgitamist vajab nende tegevuste ja kohustuste omavaheline koosmõju, tegevuste järjekord ja õiguslik tähendus. Vajadusel tuleks kaaluda RIA poolt teenuse osutajate „tuvastamise“ menetluse täpsemat regulatsiooni. 1.3 Täiendav küsimus meditsiiniseadmete tootjate näitel tekib eelnõu KütS § 1 lg 12 p-de 31 ja 46 koosmõjust, mis tõstatab taaskord eelkirjeldatud laiema küsimuse KütS kohaldamisalast ning siseriiklikust kaalutlusest sektorite-allsektorite võimalikul täiendaval piiritlemisel.

Esimene viidatud punktidest käsitleb rahvatervise hädaolukorras esmatähtsate meditsiiniseadmete loetellu kuuluvate seadmete tootjaid – teine seevastu kõigi meditsiiniseadmete kõiki tootjaid. Sätteid kõrvutades saaks väita, et teine kategooria hõlmab alati täies ulatuses ka esimese. Ometi on need direktiivis ja eelnõus sätestatud eraldi sektorite- allsektoritena, st õiguslikus mõttes tehakse neil vahet.

Eesti Ravimihulgimüüjate Liit MTÜ

Harju maakond, Saue vald, Laagri alevik, Vae tn 16 [email protected]

Vastavate kohustuste suurt ulatust arvestades on ilmselge, et üleöö ükski üksus enda nõuetelevastavust tekitada ei saa. Arvestades eelnõus teenuse osutajate kohustuste rikkumise puhuks sätestatud haldussunni ja karistusmeetmete rangust, tuleb neile küsimustele anda eelnõu dokumentides ka selge vastus. 1.4 Eelnõu selgitustes oleks kasu ka KütS kohaldamisala reeglite põhjalikumast avamisest ühte kontserni kuuluvate ettevõtete näitel. Näiteks olukorras, kus kontserni moodustavad emaettevõte A ja kolm tütarettevõtet B, C ja D, kellest:

- emaettevõte A ühtegi KütS-is nimetatud teenust ei osuta ning oleks eraldiseisva juriidilise isikuna EK juhises toodud kriteeriumite kohaselt väikeettevõte ning seega kõigi kriteeriumite lõikes KütS kohaldamisalast väljas ;

- tütarettevõte B on elutähtsa teenuse osutaja HOS ja KütS tähenduses ja seega sõltumata oma suurusest elutähtis üksus KütS tähenduses;

- tütarettevõte C osutab üht või mitut KütS § 1 lg-s 12 nimetatud teenust ning lisaks ka KütS kohaldamisalast välja jäävaid teenuseid, millest ükski eraldivõetuna ei täidaks KütS suuruse kriteeriumit, kuid C kui jur.isiku majandustegevus tervikuna ületab nii töötajate arvu kui käibe alusel KütS lävendid ning võib nende alusel mahtuda olulise üksuse kategooriasse;

- tütarettevõte D osutab samuti üht KütS § 1 lg-s 12 nimetatud teenustest, kuid tema kui jur.isiku majandustegevus ei täida KütS töötajate arvu ega käibe lävendit ja tegemist on mikroettevõttega;

siis missugused eelnimetatud juriidilistest isikutest A, B, C ja D oleks „teenuse osutajaks“ KütS tähenduses ning kas nad liigituks elutähtsaks või oluliseks üksuseks? 1.5 Eelnõus tuleks täpsemalt ja direktiivile vastavalt ka kitsamalt piiritleda teenuse osutaja kohustus „tagada süsteemi tarneahela turvalisus“. Erinevalt eelnõus pakutud KütS § 7 lg 1 p 6 sõnastusega rõhutab ja toob NIS2 direktiiv tarneahela turvalisuse osas ennekõike esile üksuse ja tema otseste tarnijate või teenuseosutajate vahelised suhted. Seega on direktiivi põhirõhk suunatud just eelnimetatud kitsamalt piiritletud suhetele, mitte sama sügavus- ja rõhuasetusega kogu tarneahelale. Sama põhimõte peaks selgelt väljenduma ka eelnõus. 1.6 Tehnilisemate märkustena: 1.6.1 Vastusena eelnõu autorite küsimusele toidu „hulgimüügi“ mõiste kohta leiame, et selle taandamine/piiritlemine üksnes lähtuvalt „tarbija“ kui tarbijakaitseseaduse tähenduses füüsilise isiku mõiste kaudu võib jääda liiga kitsaks. Ka NIS2 direktiivilisas II viidatud toidumääruse 178/2002 „jaemüügi“ definitsioon ei paista jaemüüki piiritlevat kitsalt ja ainult müügina füüsilistele isikutele, vaid kui müüki „lõpptarbijale“ („final consumer“) ehk isikutele „kes ei kasuta toitu toidukäitlemistoimingus või sellega seotud tegevuses“ („the ultimate consumer of a foodstuff who will not use the food as part of any food business operation or activity“). 1.6.2 Soovitame täpsustada kas KütS § 3 lg 12 p-s 10 ja § 3 lg 13 p-s 10 sätestatud bilansimahu ja aastakäibe kriteeriumid on omavahel vastavuses või tekib sätete vahel kattuvusi-lünki – seda nii bilansimahu ja käibe summaliste väärtuste võrdluses kui sidesõnade „või“/“ning“ kasutamisel.

Eesti Ravimihulgimüüjate Liit MTÜ

Harju maakond, Saue vald, Laagri alevik, Vae tn 16 [email protected]

Eelnõus KütS § 3: (12) Elutähtis üksus on: 10) üksus, kellel on majandusaasta jooksul keskmiselt 250 või rohkem töötajat ja kelle aasta bilansimaht ületab 50 miljonit eurot või aastakäive ületab 43 miljonit eurot, arvestades keskmise suurusega ettevõtja määratlust Euroopa Komisjoni soovituses 2003/361/EÜ, ning kes on osutatud vähemalt ühes käesoleva seaduse § 1 lõike 12 punktides 1–51. (13) Oluline üksus on: 10) üksus, kellel on majandusaasta jooksul keskmiselt rohkem kui 50 töötajat ja kelle aasta bilansimaht on vahemikus 10–43 miljonit eurot ning aastakäive on vahemikus 10–50 miljonit eurot, arvestades keskmise suurusega ettevõtja määratlust Euroopa Komisjoni soovituses 2003/361/EÜ, ja kes on osutatud vähemalt ühes käesoleva seaduse § 1 lõike 12 punktides 1–51.

2. Seaduse rakendamisest, üleminekutähtaegadest ja -sätetest 2.1 Täpsemalt ja selgemalt (sh täpsete normiviidetega eelnõu seletuskirjas) tuleks selgitada ka seda, mis hetkest hakkavad kulgema KütS kohaldamisalasse kuuluva teenuse osutaja kohustuste täitmise tähtajad – kas isiku „tuvastamisest“ teenuse osutajana RIA poolt või mõnest muust hetkest, sündmusest, asjaolust alates? Samuti küsimus sellest, mis sättes ja kui pikk üleminekuaeg nähakse käesoleva eelnõuga KüTS nõuetega vastavusse viimiseks ette neile uutele teenuse osutajatele, kes varasemalt seaduse kohaldamisalasse ei kuulunud? Seletuskirja kohaselt: „Peamiseks muudatuseks on küberturvalisuse seaduse subjektide nimekirja täiendamine. Küberturvalisuse seaduse nõudeid peavad järgima juba praegu u 3500 organisatsiooni ning eelnõuga lisandub neile (esialgse hinnangu kohaselt) veel juurde u 2000 organisatsiooni. Eelmainitud nimekirja täiendamine tähendab ka uusi subjekte, kes peavad hakkama tegelema küberturvalisuse tagamisega ehk rakendama turvameetmeid ja olulise mõjuga küberintsidendi korral teavitama sellest ka järelevalveasutust. Lisanduvatele organisatsioonidele nähakse ette ka üleminekuaeg kolm aastat, mille jooksul tuleb viia oma tegevus küberturvalisuse seaduse põhilisemate nõuetega kooskõlla. Elutähtsa teenuse osutajatel on erand – nemad lähtuvad kehtiva õiguse ehk hädaolukorra seaduse tõttu viieaastasest tähtajast.”. Erinevalt seletuskirjas selgitatust nähakse eelnõuga muudetava HOS § 38 lõike 13 punkt 3 kohaselt elutähtsa teenuse osutajale KütS kohustuste täitmiseks aga ette mitte 5-aastane, vaid kuni 5-aastane maksimaalne tähtaeg, mille üle otsustab isikut elutähtsa teenuse osutajaks määrav ETKA haldusaktis. Seega võib ETO-kohustuste algus osutuda oluliselt lühemaks, kui seletuskirjas lubatud 5 aastat. Samas ei selgu eelnõust, mis kriteeriumite ja kaalutluste alusel lõplik tähtaeg selgitatakse ja määratakse. Näeme kindlasti vajadust tagada ettevõtetele piisavalt pikk ja selge üleminekuaeg. Samuti on eelnõust keerukas leida “uutele” KütS teenuse osutajatele, kes ei ole ETO-ks HOS tähenduses, seletuskirjas lubatud 3-aastast üleminekutähtaega ning selgitusi selle kohta, miks eristatakse seda tähtaega ETO-de üleminekust ning kas KütS alusel on 3-aastane üleminek igal juhul tagatud või sõltub see samuti mõne haldusorgani täiendavast otsusest.

Eesti Ravimihulgimüüjate Liit MTÜ

Harju maakond, Saue vald, Laagri alevik, Vae tn 16 [email protected]

Peame oluliseks, et üleminekuajad ja neid selgitavad sätted oleks eelnõus selgelt välja toodud. 2.2 Lisaküsimus tähtaegadest tekib ka selles, kuidas arvestatakse ja millal ning mis alusel tekib teenuse osutajana tuvastatud isikutel kohustus asuda KütS nõudeid täitma näiteks olukordades, kus:

- isik võib nö liikuda seaduse kohaldamisala piiridel kord kohaldamise lävendeid täites ja seejärel nende alt välja langedes;

- valitsus otsustab täiendavate sektorite või teenuseosutajate lisamise KütS kohaldamisalasse.

Küsimus on aktuaalne näiteks KütS § 1 lg 12 p 31 nimetatud rahvatervise hädaolukorras esmatähtsate meditsiiniseadmete loetellu kuuluvate med-seadmete tootjate puhul. Meile teadaolevalt täna seesugust loetelu ei eksisteeri ning asjakohase valdkondliku EL määruse kohaselt tundub, et loetelud luuaksegi alles hädaolukorra tekkides. Kui see on nii, siis ei saa ükski meditsiiniseadmeid tootev teenuse osutaja selguda varem, kui Euroopas on hädaolukord välja kuulutatud. Samas on selge ka see, et alles hädaolukorra alguses teenuse osutajana tuvastatud üksus ei suuda asuda uusi kohustusi üleöö täitma ega nende rikkumise eest üleöö vastutust kanda. 2.3 Eelnõu tutvustusel 23.1.2025 arutelus tõusetus küsimus sellest, kas seadusemuudatuste rakendamisel jätkub selle kohaldamisteenuse kuuluvate tuhandete teenuse osutajate kohustuste täitmiseks piisavalt kvalifitseeritud audiitoreid, sh kas võimaliku puuduse olukorras eeldatavasti tõusvad hinnad on uute kohustuste täitmiseks isikutele jõukohased. Arvestades eelnõus teenuse osutajate kohustuste rikkumise puhuks sätestatud sanktsioonide rangust peab kindlasti olema tagatud eelnõu rakendatavus praktikas. Selles aspektis tuleks vastavalt täiendada eelnõu mõjuanalüüsi ning vajadusel kavandada asjakohased ülemineku- või erisätted. 2.4 Eelnõu tutvustusel 23.1.2025 arutelus tõusetus küsimus ka sellest, kas eelnõuga kavandatud sisulised küberturvalisuse nõuded vastavad NIS2 direktiivis ettenähtud miinimumstandardile või on Eesti vabatahtlikult kehtestamas EL õiguses ettenähtuga võrreldes rangemaid standardeid. Kui see peaks olema nii, siis vajaks iga siseriiklik tugevam standard eraldi põhjendamist ning hindamist selle täidetavuse ja proportsionaalsuse seisukohalt.

Kuna eelnõuga lisandub KütS kohaldamisalasse väga palju uusi teenuse osutajaid, siis meie hinnangul ei piisa võimalike kõrgemate nõuete põhjendamiseks üksnes asjaolust, et sellised kõrgemad nõuded võivad osalt kehtida ka täna.

Meile teadaolevalt on täna kehtiva KütS rakendamisel mõnedel teenuseosutajatel juba tekkinud tõsiseid probleeme. See on nii näiteks perearstide puhul, kelle praeguste kohustuste ulatust ongi eelnõus kavandatud muudatuste abil juba leevendama asutud. Selles valguses ning vältimaks olukorda, kus range sanktsiooni ähvardusega kehtestataks faktiliselt täidetamatuid nõudeid, tuleks eelnõu sisulisi nõudeid kindlasti hinnata ja vajadusel-võimalusel diferentseerida ka kõigi teiste uute teenuse osutajate võimekuste kontekstis. Selles võtmes võivad väärida ülevaatamist ja täpsemalt piiritlemist või diferentseerimist ka tänased KütS volitusnormid täitevvõimule küberturbe standardite kehtestamiseks.

Eesti Ravimihulgimüüjate Liit MTÜ

Harju maakond, Saue vald, Laagri alevik, Vae tn 16 [email protected]

3. Sunniraha määrast Peame põhimõtteliselt ebaõigeks tuletada ja võrdsustada KütS-is sunniraha määr seaduse nõuete rikkumise eest määratava väärteotrahvi määraga. Tegemist on olemuslikult ja õiguslikult erinevate instrumentidega. Samuti ei näe sunniraha suurust ega ka sunniraha kohustust ette NIS2 direktiiv. Kui siiski siseriiklikult sunniraha kui haldussunni meede luua, siis tuleb see kui kohustuse täitmisele suunav meede nii sisus kui rahasummade osas selgelt eristada puhtalt karistusliku iseloomuga väärteotrahvist. Meeldivale koostööle lootma jäädes! Lugupidamisega Teet Torgo tegevjuht

Eesti Ravimihulgimüüjate Liit MTÜ

Harju maakond, Saue vald, Laagri alevik, Vae tn 16 [email protected]

Pr Liisa-Ly Pakosta Justiits- ja digiminister Justiits- ja digiministeerium [email protected]

Teie: 9.12.2024 nr 2-2/3131-1 Meie: 31.1.2025

Arvamus küberturvalisuse seaduse ja teiste seaduste muutmise seaduse eelnõule (küberturvalisuse 2. direktiivi ülevõtmine) Austatud proua minister, Tänan Teid Eesti Ravimihulgimüüjate Liidu poolt NIS2 direktiivi ülevõtmise seaduseelnõu arvamuse andmiseks saatmise eest. Meie hinnangul vajavad eelnõu ja seletuskiri mitmetes küsimustes oluliselt suuremat selgust ning vajadusel ka asjakohaselt täiendamist. Ka eelnõu autorid ise esitavad eelnõu teksti ja selle tõlgendamise kohta seletuskirjas alles küsimusi. Nõustume autoritega, et seda tüüpi aspektid vajavad selgeid vastuseid, milleta on keeruline või võimatu eelnõud lõpuni mõista. Tunnustame ministeeriumit sisulise kaasamise ja avatud arutelu algatamise üle. Samas tähendab see, et faktiliselt on eelnõu veel koostamise faasis ning arvamuse avaldamiseks saadetud tekst alles esimene versioon tulevastest, mitte juba valitsuse ja Riigikogu järgmistesse menetlusetappidesse saatmiseks valmis lõpptekst. Loodetavasti saadab ministeerium eelnõu viimase variandi huvirühmadele tutvumiseks ja vajadusel arvamust avaldamiseks uuesti ka selle lõplikul valmiskujul. Näeme eelnõus järgmiseid põhimõttelisi küsimuskohti:

1. Eelnõu kohaldamisala 1.1 Selget vastust vajab küsimus sellest, kas ja kui, siis mil määral, on riikidel õigus seada täpsustavaid lävendeid NIS2 lisades I ja II nimetatud sektorites-allsektorites tegutsevate üksuste määratlemisel KütS kohaldamisalasse kuuluvaks või sellest välja jätmiseks? Nende määratlemine ning maksimaalselt ära kasutamine peaks olema eelnõu koostamise üheks aluseks. Näiteks muuhulgas, kuid mitte ainult, olukorras, kus

- üksus (juriidiline isik) tervikuna täidab küll KütS kohaldamisala suuruse kriteeriumid,

Eesti Ravimihulgimüüjate Liit MTÜ

Harju maakond, Saue vald, Laagri alevik, Vae tn 16 [email protected]

- kuid tema tegevus NIS2 lisades nimetatud sektorites moodustab vaid osa üksuse kogu majandustegevusest

- ning üksnes selline tegevus eraldivõetuna kohaldamisala suuruse kriteeriumit ära ei täidaks.

Eelnõu tutvustusel 23.1.2025 selgitasid eelnõu autorid, et riikide käsitlused selle aspekti lahendamisel varieeruvad (Läti näide). Ka meile teadaolevalt on Lätis sätestatud erinormid keskmise suurusega teenuse osutajatele, kes kuuluvad küberturvalisuse seaduse kohaldamisalasse vaid juhul, kui küberturvalisuse kontekstis tähendust omav tegevusala kuulub ettevõtte peamiste tegevusalade hulka. Peame seesugust täiendavat piiritlust mõistlikuks ning paluma ka KütS eelnõus kaaluda tegevusalade osas erisuse sätestamist, mis hõlmaks KütS kohaldamisalasse ainult need ettevõtted, kelle peamiseks tegevusalaks on KütS mõistes elutähtsate või oluliste teenuste osutamine. Kindlasti tuleks seesuguseid erisusi arvestada tervishoiu- ja kemikaalivaldkonna tootmis- ja levitamistegevuste puhul. Lisaks võimaldab ka NIS2 direktiiv ise liikmesriikidele teatud ulatuses kaalutlust selle üle, kas näiteks hõlmata mõni sektor KütS kohaldamisalasse olenemata selles tegutseva üksuse suurusest. Seda diskretsiooni on eelnõus ka kasutatud tervishoiuteenuse osutajate puhul – hõlmates kohaldamisalasse perearstid, kuid jättes sellest välja teised tervishoiuteenuse osutajad (N. hambaarstid, kliinilised psühholoogid, teised eriarstiabi osutajad jm). Eelnõu mõistmiseks ja edasiseks menetluseks on kriitiline jõuda selge arusaamani nende lävendite täpsest piirist ja siseriiklikust kaalutlusvabadusest nende piiride seadmisel. Arvestades eelnõu ulatuslikku mõju ettevõtetele tuleks NIS2 ülevõtmisel piirduda direktiivis minimaalselt nõutuga ning maksimaalselt kasutada siseriiklikusse pädevusse jäetud võimalusi KütS kohaldamisala piiramisel. 1.2 Selget vastust vajab ka küsimus sellest, kuidas, kelle initsiatiivil ja mis menetluses toimub üksuste määratlemine KütS kohaldamisalasse kuuluvaks. Eelnõu kohaselt „tuvastab“ teenuse osutajad RIA. Eelnõu näeb selleks ette tähtajad, kuid mitte menetluskorda. Teisalt on teenuse osutajatel kohustus esitada RIA-le teave enda kui teenuse osutaja kohta, ennast teenuse osutajana RIA juures „registreerida“. Samuti tuleb teavitada asjakohastest muutustest. Selgitamist vajab nende tegevuste ja kohustuste omavaheline koosmõju, tegevuste järjekord ja õiguslik tähendus. Vajadusel tuleks kaaluda RIA poolt teenuse osutajate „tuvastamise“ menetluse täpsemat regulatsiooni. 1.3 Täiendav küsimus meditsiiniseadmete tootjate näitel tekib eelnõu KütS § 1 lg 12 p-de 31 ja 46 koosmõjust, mis tõstatab taaskord eelkirjeldatud laiema küsimuse KütS kohaldamisalast ning siseriiklikust kaalutlusest sektorite-allsektorite võimalikul täiendaval piiritlemisel.

Esimene viidatud punktidest käsitleb rahvatervise hädaolukorras esmatähtsate meditsiiniseadmete loetellu kuuluvate seadmete tootjaid – teine seevastu kõigi meditsiiniseadmete kõiki tootjaid. Sätteid kõrvutades saaks väita, et teine kategooria hõlmab alati täies ulatuses ka esimese. Ometi on need direktiivis ja eelnõus sätestatud eraldi sektorite- allsektoritena, st õiguslikus mõttes tehakse neil vahet.

Eesti Ravimihulgimüüjate Liit MTÜ

Harju maakond, Saue vald, Laagri alevik, Vae tn 16 [email protected]

Vastavate kohustuste suurt ulatust arvestades on ilmselge, et üleöö ükski üksus enda nõuetelevastavust tekitada ei saa. Arvestades eelnõus teenuse osutajate kohustuste rikkumise puhuks sätestatud haldussunni ja karistusmeetmete rangust, tuleb neile küsimustele anda eelnõu dokumentides ka selge vastus. 1.4 Eelnõu selgitustes oleks kasu ka KütS kohaldamisala reeglite põhjalikumast avamisest ühte kontserni kuuluvate ettevõtete näitel. Näiteks olukorras, kus kontserni moodustavad emaettevõte A ja kolm tütarettevõtet B, C ja D, kellest:

- emaettevõte A ühtegi KütS-is nimetatud teenust ei osuta ning oleks eraldiseisva juriidilise isikuna EK juhises toodud kriteeriumite kohaselt väikeettevõte ning seega kõigi kriteeriumite lõikes KütS kohaldamisalast väljas ;

- tütarettevõte B on elutähtsa teenuse osutaja HOS ja KütS tähenduses ja seega sõltumata oma suurusest elutähtis üksus KütS tähenduses;

- tütarettevõte C osutab üht või mitut KütS § 1 lg-s 12 nimetatud teenust ning lisaks ka KütS kohaldamisalast välja jäävaid teenuseid, millest ükski eraldivõetuna ei täidaks KütS suuruse kriteeriumit, kuid C kui jur.isiku majandustegevus tervikuna ületab nii töötajate arvu kui käibe alusel KütS lävendid ning võib nende alusel mahtuda olulise üksuse kategooriasse;

- tütarettevõte D osutab samuti üht KütS § 1 lg-s 12 nimetatud teenustest, kuid tema kui jur.isiku majandustegevus ei täida KütS töötajate arvu ega käibe lävendit ja tegemist on mikroettevõttega;

siis missugused eelnimetatud juriidilistest isikutest A, B, C ja D oleks „teenuse osutajaks“ KütS tähenduses ning kas nad liigituks elutähtsaks või oluliseks üksuseks? 1.5 Eelnõus tuleks täpsemalt ja direktiivile vastavalt ka kitsamalt piiritleda teenuse osutaja kohustus „tagada süsteemi tarneahela turvalisus“. Erinevalt eelnõus pakutud KütS § 7 lg 1 p 6 sõnastusega rõhutab ja toob NIS2 direktiiv tarneahela turvalisuse osas ennekõike esile üksuse ja tema otseste tarnijate või teenuseosutajate vahelised suhted. Seega on direktiivi põhirõhk suunatud just eelnimetatud kitsamalt piiritletud suhetele, mitte sama sügavus- ja rõhuasetusega kogu tarneahelale. Sama põhimõte peaks selgelt väljenduma ka eelnõus. 1.6 Tehnilisemate märkustena: 1.6.1 Vastusena eelnõu autorite küsimusele toidu „hulgimüügi“ mõiste kohta leiame, et selle taandamine/piiritlemine üksnes lähtuvalt „tarbija“ kui tarbijakaitseseaduse tähenduses füüsilise isiku mõiste kaudu võib jääda liiga kitsaks. Ka NIS2 direktiivilisas II viidatud toidumääruse 178/2002 „jaemüügi“ definitsioon ei paista jaemüüki piiritlevat kitsalt ja ainult müügina füüsilistele isikutele, vaid kui müüki „lõpptarbijale“ („final consumer“) ehk isikutele „kes ei kasuta toitu toidukäitlemistoimingus või sellega seotud tegevuses“ („the ultimate consumer of a foodstuff who will not use the food as part of any food business operation or activity“). 1.6.2 Soovitame täpsustada kas KütS § 3 lg 12 p-s 10 ja § 3 lg 13 p-s 10 sätestatud bilansimahu ja aastakäibe kriteeriumid on omavahel vastavuses või tekib sätete vahel kattuvusi-lünki – seda nii bilansimahu ja käibe summaliste väärtuste võrdluses kui sidesõnade „või“/“ning“ kasutamisel.

Eesti Ravimihulgimüüjate Liit MTÜ

Harju maakond, Saue vald, Laagri alevik, Vae tn 16 [email protected]

Eelnõus KütS § 3: (12) Elutähtis üksus on: 10) üksus, kellel on majandusaasta jooksul keskmiselt 250 või rohkem töötajat ja kelle aasta bilansimaht ületab 50 miljonit eurot või aastakäive ületab 43 miljonit eurot, arvestades keskmise suurusega ettevõtja määratlust Euroopa Komisjoni soovituses 2003/361/EÜ, ning kes on osutatud vähemalt ühes käesoleva seaduse § 1 lõike 12 punktides 1–51. (13) Oluline üksus on: 10) üksus, kellel on majandusaasta jooksul keskmiselt rohkem kui 50 töötajat ja kelle aasta bilansimaht on vahemikus 10–43 miljonit eurot ning aastakäive on vahemikus 10–50 miljonit eurot, arvestades keskmise suurusega ettevõtja määratlust Euroopa Komisjoni soovituses 2003/361/EÜ, ja kes on osutatud vähemalt ühes käesoleva seaduse § 1 lõike 12 punktides 1–51.

2. Seaduse rakendamisest, üleminekutähtaegadest ja -sätetest 2.1 Täpsemalt ja selgemalt (sh täpsete normiviidetega eelnõu seletuskirjas) tuleks selgitada ka seda, mis hetkest hakkavad kulgema KütS kohaldamisalasse kuuluva teenuse osutaja kohustuste täitmise tähtajad – kas isiku „tuvastamisest“ teenuse osutajana RIA poolt või mõnest muust hetkest, sündmusest, asjaolust alates? Samuti küsimus sellest, mis sättes ja kui pikk üleminekuaeg nähakse käesoleva eelnõuga KüTS nõuetega vastavusse viimiseks ette neile uutele teenuse osutajatele, kes varasemalt seaduse kohaldamisalasse ei kuulunud? Seletuskirja kohaselt: „Peamiseks muudatuseks on küberturvalisuse seaduse subjektide nimekirja täiendamine. Küberturvalisuse seaduse nõudeid peavad järgima juba praegu u 3500 organisatsiooni ning eelnõuga lisandub neile (esialgse hinnangu kohaselt) veel juurde u 2000 organisatsiooni. Eelmainitud nimekirja täiendamine tähendab ka uusi subjekte, kes peavad hakkama tegelema küberturvalisuse tagamisega ehk rakendama turvameetmeid ja olulise mõjuga küberintsidendi korral teavitama sellest ka järelevalveasutust. Lisanduvatele organisatsioonidele nähakse ette ka üleminekuaeg kolm aastat, mille jooksul tuleb viia oma tegevus küberturvalisuse seaduse põhilisemate nõuetega kooskõlla. Elutähtsa teenuse osutajatel on erand – nemad lähtuvad kehtiva õiguse ehk hädaolukorra seaduse tõttu viieaastasest tähtajast.”. Erinevalt seletuskirjas selgitatust nähakse eelnõuga muudetava HOS § 38 lõike 13 punkt 3 kohaselt elutähtsa teenuse osutajale KütS kohustuste täitmiseks aga ette mitte 5-aastane, vaid kuni 5-aastane maksimaalne tähtaeg, mille üle otsustab isikut elutähtsa teenuse osutajaks määrav ETKA haldusaktis. Seega võib ETO-kohustuste algus osutuda oluliselt lühemaks, kui seletuskirjas lubatud 5 aastat. Samas ei selgu eelnõust, mis kriteeriumite ja kaalutluste alusel lõplik tähtaeg selgitatakse ja määratakse. Näeme kindlasti vajadust tagada ettevõtetele piisavalt pikk ja selge üleminekuaeg. Samuti on eelnõust keerukas leida “uutele” KütS teenuse osutajatele, kes ei ole ETO-ks HOS tähenduses, seletuskirjas lubatud 3-aastast üleminekutähtaega ning selgitusi selle kohta, miks eristatakse seda tähtaega ETO-de üleminekust ning kas KütS alusel on 3-aastane üleminek igal juhul tagatud või sõltub see samuti mõne haldusorgani täiendavast otsusest.

Eesti Ravimihulgimüüjate Liit MTÜ

Harju maakond, Saue vald, Laagri alevik, Vae tn 16 [email protected]

Peame oluliseks, et üleminekuajad ja neid selgitavad sätted oleks eelnõus selgelt välja toodud. 2.2 Lisaküsimus tähtaegadest tekib ka selles, kuidas arvestatakse ja millal ning mis alusel tekib teenuse osutajana tuvastatud isikutel kohustus asuda KütS nõudeid täitma näiteks olukordades, kus:

- isik võib nö liikuda seaduse kohaldamisala piiridel kord kohaldamise lävendeid täites ja seejärel nende alt välja langedes;

- valitsus otsustab täiendavate sektorite või teenuseosutajate lisamise KütS kohaldamisalasse.

Küsimus on aktuaalne näiteks KütS § 1 lg 12 p 31 nimetatud rahvatervise hädaolukorras esmatähtsate meditsiiniseadmete loetellu kuuluvate med-seadmete tootjate puhul. Meile teadaolevalt täna seesugust loetelu ei eksisteeri ning asjakohase valdkondliku EL määruse kohaselt tundub, et loetelud luuaksegi alles hädaolukorra tekkides. Kui see on nii, siis ei saa ükski meditsiiniseadmeid tootev teenuse osutaja selguda varem, kui Euroopas on hädaolukord välja kuulutatud. Samas on selge ka see, et alles hädaolukorra alguses teenuse osutajana tuvastatud üksus ei suuda asuda uusi kohustusi üleöö täitma ega nende rikkumise eest üleöö vastutust kanda. 2.3 Eelnõu tutvustusel 23.1.2025 arutelus tõusetus küsimus sellest, kas seadusemuudatuste rakendamisel jätkub selle kohaldamisteenuse kuuluvate tuhandete teenuse osutajate kohustuste täitmiseks piisavalt kvalifitseeritud audiitoreid, sh kas võimaliku puuduse olukorras eeldatavasti tõusvad hinnad on uute kohustuste täitmiseks isikutele jõukohased. Arvestades eelnõus teenuse osutajate kohustuste rikkumise puhuks sätestatud sanktsioonide rangust peab kindlasti olema tagatud eelnõu rakendatavus praktikas. Selles aspektis tuleks vastavalt täiendada eelnõu mõjuanalüüsi ning vajadusel kavandada asjakohased ülemineku- või erisätted. 2.4 Eelnõu tutvustusel 23.1.2025 arutelus tõusetus küsimus ka sellest, kas eelnõuga kavandatud sisulised küberturvalisuse nõuded vastavad NIS2 direktiivis ettenähtud miinimumstandardile või on Eesti vabatahtlikult kehtestamas EL õiguses ettenähtuga võrreldes rangemaid standardeid. Kui see peaks olema nii, siis vajaks iga siseriiklik tugevam standard eraldi põhjendamist ning hindamist selle täidetavuse ja proportsionaalsuse seisukohalt.

Kuna eelnõuga lisandub KütS kohaldamisalasse väga palju uusi teenuse osutajaid, siis meie hinnangul ei piisa võimalike kõrgemate nõuete põhjendamiseks üksnes asjaolust, et sellised kõrgemad nõuded võivad osalt kehtida ka täna.

Meile teadaolevalt on täna kehtiva KütS rakendamisel mõnedel teenuseosutajatel juba tekkinud tõsiseid probleeme. See on nii näiteks perearstide puhul, kelle praeguste kohustuste ulatust ongi eelnõus kavandatud muudatuste abil juba leevendama asutud. Selles valguses ning vältimaks olukorda, kus range sanktsiooni ähvardusega kehtestataks faktiliselt täidetamatuid nõudeid, tuleks eelnõu sisulisi nõudeid kindlasti hinnata ja vajadusel-võimalusel diferentseerida ka kõigi teiste uute teenuse osutajate võimekuste kontekstis. Selles võtmes võivad väärida ülevaatamist ja täpsemalt piiritlemist või diferentseerimist ka tänased KütS volitusnormid täitevvõimule küberturbe standardite kehtestamiseks.

Eesti Ravimihulgimüüjate Liit MTÜ

Harju maakond, Saue vald, Laagri alevik, Vae tn 16 [email protected]

3. Sunniraha määrast Peame põhimõtteliselt ebaõigeks tuletada ja võrdsustada KütS-is sunniraha määr seaduse nõuete rikkumise eest määratava väärteotrahvi määraga. Tegemist on olemuslikult ja õiguslikult erinevate instrumentidega. Samuti ei näe sunniraha suurust ega ka sunniraha kohustust ette NIS2 direktiiv. Kui siiski siseriiklikult sunniraha kui haldussunni meede luua, siis tuleb see kui kohustuse täitmisele suunav meede nii sisus kui rahasummade osas selgelt eristada puhtalt karistusliku iseloomuga väärteotrahvist. Meeldivale koostööle lootma jäädes! Lugupidamisega Teet Torgo tegevjuht