Vastus

Suur-Ameerika 1 / 10122 Tallinn / +372 620 8100 / [email protected]/ www.justdigi.ee Registrikood 70000898

Meelis Männik CFO Synlab Eesti OÜ [email protected] Vastus selgitustaotlusele Esitasite selgitustaotluse, millega soovite teada, kas SYNLAB Eesti OÜ-le (registrikoodiga 11107913) kohalduvad küberturvalisuse 2. direktiivi ehk NIS2 direktiivi nõuded, mida planeeritakse jõustada küberturvalisuse seadusega (edaspidi: KüTS). Selgitustaotluses esitasite ka ettevõtte näitajad (aruandeaasta müügitulu, bilansimaht, täistööajale taandatud keskmine töötajate arv ja tegevusala koos EMTAK koodiga) 31.12.2024. a seisuga. Saame anda esmaseid selgitusi avalikul kooskõlastusringil olnud eelnõu1 (edaspidi: eelnõu) põhjal. Lisaks märgime, et hetkel tegeleme samale eelnõule saadud tagasiside läbi töötamisega, mille pinnalt võib eelnõu ja seeläbi ka allolev vastus muutuda. NIS2 direktiivi artikkel 2 määratleb ära direktiivi kohaldamisala. Selle lõike 1 kohaselt kohaldatakse seda sama direktiivi I või II lisas osutatud sellist liiki avalik-õiguslike või eraõiguslike üksuste suhtes, mis kvalifitseeruvad soovituse 2003/361/EÜ2 lisa artikli 2 kohaselt keskmise suurusega ettevõtjateks või ületavad kõnealuse artikli lõikes 1 sätestatud keskmise suurusega ettevõtja ülemmäärasid, ning osutavad teenuseid või tegutsevad Euroopa Liidus. Soovituse 2003/361/EÜ kohaselt on keskmise suurusega ettevõtjaga tegemist siis, kui ettevõtjal on a) vähemalt 50 töötajat ning b) tema bilansimaht või aastakäive ületab 10 miljonit eurot. Mõlemad tingimused peavad olema täidetud. Kui arvestada Teie selgitustaotluses olevaid ettevõtte näitajaid, siis eelduslikult on keskmise suurusega ettevõtja suuruse kriteeriumid täidetud. Seega on vaja veel selgeks teha, kas ja millise NIS2 direktiivi I või II lisas oleva üksuse liigi alla Teie tegevus kuulub. NIS2 direktiivi I lisa tabeli kande 5 („Tervishoid“) üksuse liiki täistavas veerus on sõnastused, mis on seotud ennekõike tervishoiu valdkonnaga. Sellele on lisatud selgitused eelnõu seletuskirja lisast 1 ehk vastavustabelist, et millise õigusnormiga soovitakse vastavad sõnastused üle võtta. Nendeks sõnastusteks on: - Euroopa Parlamendi ja nõukogu direktiivi 2011/24/EL artikli 3 punktis g määratletud

tervishoiuteenuse osutajad; (need on hõlmatud eelnõus oleva KüTS § 1 lg 13 p 8 ja lg 15 p 9); - Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2371 artiklis 15 määratletud ELi

referentlaborid; (selle kohta on eraldi rakendusmäärus, milles ei ole Eesti referentlaboreid nimetatud. Seetõttu puudub vajadus nende nimetamiseks KüTSis)

- Üksused, mis tegelevad Euroopa Parlamendi ja nõukogu direktiivi 2001/83/EÜ artikli 1 punktis 2 määratletud ravimite uurimise ja arendamisega; (eelnõus olev KüTS § 1 lg 12 punkt 29)

1 Kättesaadav: https://eelnoud.valitsus.ee/main/mount/docList/c774c2e2-0c3e-4137-b24b- b49d1249f326. 2 Kättesaadav: https://eur-lex.europa.eu/eli/reco/2003/361/oj/eng.

Teie 27.02.2025

Meie 11.03.2025 nr 21-2/25/2072-2

- NACE Rev. 2 C jao jaotises 21 osutatud põhifarmaatsiatooteid ja ravimpreparaate tootvad üksused; (eelnõus olev KüTS § 1 lg 12 punkt 30);

- Üksused, mis toodavad rahvatervise hädaolukorras kriitilise tähtsusega meditsiiniseadmeid (rahvatervise hädaolukorra esmatähtsate meditsiiniseadmete loetelu) Euroopa Parlamendi ja nõukogu määruse (EL) 2022/123 artikli 22 tähenduses (eelnõus olev KüTS § 1 lg 12 punkt 31).

Eelnõu seletuskirjas on selgitatud, mida iga vastava KüTSi sätte sõnastuse juures on mõeldud. Neist siinses vastuses peatume ainult esimesel. Eelnõu seletuskirja lk-l 51 on kirjas: „Direktiivi 2011/24/EL artikli 3 punktis g on tervishoiuteenuse osutajaks „füüsiline või juriidiline isik või muu üksus, kes osutab liikmesriigi territooriumil seaduslikult tervishoiuteenuseid“. Sama artikli punktis a on defineeritud tervishoiuteenus kui: „tervishoiuteenused, mida tervishoiutöötajad osutavad patsientidele, et hinnata, säilitada või taastada nende terviseseisundit, sealhulgas ravimite ja meditsiiniseadmete väljakirjutamine, väljastamine ja nendega varustamine“. Ehk üldistatult võib siia alla esmapilgul paigutada erinevaid tervishoiuteenuseid ja nende osutajaid, kuid eelnõu koostajate soov on NIS2 direktiivi võimalikult kitsalt üle võtta, sh ennekõike säilitada kehtivat õigust.“. Kui arvestada NIS2 direktiivi I lisas olevat viidet direktiivi 2011/24/EL artikli 3 punktis g määratud tervishoiuteenuse osutajatele, siis tundub, et NIS2 direktiiv soovib hõlmata tervishoiu sektoris neid organisatsioone (üksusi), kes on sisuliselt saanud tegevusloa tervishoiuteenuste osutamiseks (vt sõnastust „kes osutab liikmesriigi territooriumil seaduslikult tervishoiuteenuseid“). Eelnõu koostamisel on lähtutud eeldusest, et NIS2 direktiiv soovitakse minimaalsest üle võtta, sh et soov on võimalikus ulatuses säilitada kehtivat õigust. Seetõttu on (vt eespool märgitud vastavustabeli viidet ja selgitust) eelnõus ka lähtutud sellest, et selle üksuse liigi puhul on mõeldud hädaolukorra seaduse tähenduses elutähtsa teenuse osutajaid3 kui ka neid perearste, kes ei ole elutähtsa teenuse osutajaid. Saame selgitustaotluses esitatud EMTAK tegevusala koodist (meditsiinilaborite, vere-, sperma- jms pankade tegevus, kood 86902) aru, et see tegevus ei ole seotud perearstiabi teenuse osutamise ega elutähtsa teenuste osutamisega – kuid tegemist on eeldusega, teadmata täpsemalt, mis on Synlab Eesti OÜ täpsemad pakutavad teenused ja tegevused tervishoiu valdkonnas. Kordame üle, et eelmainitud selgitused põhinevad avalikul kooskõlastusringil olnud eelnõul ning see ei arvesta samas eelnõus tehtavaid võimalikke muudatusi, mis tulenevad eelnõule saadud tagasisidest (sh ka tervishoiusektori kohta esitatud tagasisidest). See tähendab, et eelnõu tagasiside tõttu võib eelnõu ja seetõttu ka käesolev selgitus muutuda. Lugupidamisega (allkirjastatud digitaalselt) Taavi Viilukas riikliku küberturvalisuse juht Raavo Palu [email protected]

3 Tervishoiuteenuste korraldamise seaduse § 7 lg 5 (perearstiabi osutaja), § 17 lg 11 (kiirabibrigaadi pidaja) ja § 22 lg 41 (sama seaduse § 55 lg 1 alusel kehtestatud haiglavõrgu haigla) täpsustavad, millised üksused on tervishoiu valdkonnas elutähtsa teenuse osutajad (vt täpsemalt viidatud paragrahve ja seotud muid õigusnorme, sh vajadusel ka nendega seotud määrusi).