| Dokumendiregister | Justiitsministeerium |
| Viit | 21-2/25/2474-1 |
| Registreeritud | 13.03.2025 |
| Sünkroonitud | 14.03.2025 |
| Liik | Sissetulev kiri |
| Funktsioon | 21 Digiarengu korraldamine |
| Sari | 21-2 Küberturvalisuse kavandamise ning korraldamise kirjavahetus |
| Toimik | 21-2/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Eesti Infotehnoloogia ja Telekommunikatsiooni Liit |
| Saabumis/saatmisviis | Eesti Infotehnoloogia ja Telekommunikatsiooni Liit |
| Vastutaja | Taavi Viilukas (Justiits- ja Digiministeerium, Kantsleri vastutusvaldkond, Digitaristu- ja küberturvalisuse valdkond, Riikliku küberturvalisuse talitus) |
| Originaal | Ava uues aknas |
Pr Liisa-Ly Pakosta Justiits- ja digiminister Justiits- ja Digiministeerium Suur-Ameerika 1 10122 TALLINN 13.03.2025 nr 6.1-2/26 Pöördumine seoses NIS2 direktiivi rakendusakti kohaldamisega Eestis Pöördume Teie poole seoses Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 ehk küberturvalisuse 2. direktiivi (edaspidi: NIS2 direktiiv) artikli 21 lõike 2 ja artikli 23 lõike 3 rakendamiseks vastu võetud Euroopa Komisjoni rakendusmäärusega (EL) 2024/2690. Tegemist on otsekohalduva õigusaktiga, millega kehtestatakse seoses domeeninimede süsteemi teenuse osutajate, tippdomeeninimede registrite, pilvandmetöötlusteenuse osutajate, andmekeskusteenuse osutajate, sisulevivõrgu pakkujate, hallatud teenuse osutajate, turbetarnijate ning internetipõhiste kauplemiskohtade, internetipõhiste otsingumootorite, sotsiaalvõrguteenuse platvormide ja usaldusteenuse pakkujatega NIS2 direktiivi kohaldamise eeskirjad, mis puudutavad küberturvalisuse riskijuhtimismeetmete tehnilisi ja metoodilisi nõudeid ning selliste juhtude täpsemat kindlaksmääramist, mille korral peetakse intsidenti oluliseks. See rakendusmäärus avaldati Euroopa Liidu Teatajas 17.10.2024 ja see jõustus 20. päeval pärast selle avaldamist.
NIS2 direktiiv ei ole Eesti õigusse üle võetud. Eelmise aasta detsembris kooskõlastamisele saadetud küberturvalisuse seaduse ja teiste seaduste muutmise seaduse eelnõu, millega NIS2 direktiiv üle võetakse, kavandatav jõustumise aeg on 1. juuli 2025.
Kõnealuse rakendusakti subjektis olevatel ettevõtete jaoks on ebaselge küsimus, kas rakendusaktis olevaid nõudeid tuleb või ei tule täita juba praegu, kuna NIS2 direktiivis sisalduv on Eesti õigusesse üle võtmata. Sel teemal on esitatud vastakaid seisukohti. Majandus- ja Kommunikatsiooniministeeriumi poolt selgitati Eesti Infotehnoloogia ja Telekommunikatsiooni Liidule 12.12.2024 kirjaga nr 9-2/2933-2, et tähtaegselt üle võtmata Euroopa Liidu direktiivid on otsekohaldatavad.
2
Samas märgiti, et Euroopa Komisjoni rakendusmäärus on määrus, mis on otsekohalduv ning tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides. Euroopa Komisjoni esindajad on kohtumisel huvigruppidega väljendanud seisukohta, et kui liikmesriigis NIS2 direktiivi ülevõtmise seadus puudub, puudub rakendusaktil selles riigis õiguslik alus ja seetõttu ei saa seda jõustada.
Palume Justiits- ja Digiministeeriumi seisukohta, kas nimetatud rakendusmäärust tuleb Eestis juba täita praegu ehk enne kui NIS2 direktiiv saab ülevõetud. Kui jah, siis mis kuupäevast alates? Kui ei, siis kas kohustus seda täita tekib päeval, mil NIS2 direktiivi üle võttev seadus jõustub? Palume nimetatud rakendusaktiga arvestada NIS2 direktiivi üle võtva eelnõu rakendussätteid koostades.
Ühtlasi palume infot, kas Eesti riigiasutused teenuse pakkumisel ja tellimisel juba järgivad seda rakendusakti ning kas Riigi Infosüsteemi Amet kui järelevalveastutus teostab rakendusmääruses sisalduvate nõuete täitmise üle juba praegu järelevalvet.
Kuna selles küsimuses valitseb endiselt segadus ja teadmatus (rakendusakt avaldati pea 5 kuud tagasi), palume avalikkusele kättesaadavaks teha juhendmaterjali, mis selgitab kas, mis hetkest alates ja kuidas seda õigusakti täitma peab.
Oleksime tänulikud, kui leiaksite võimaluse meie küsimusele vastamiseks uurida ka Euroopa Komisjoni seisukohta ning teiste liikmesriikide praktikat, kes on Eestiga sarnases olukorras ehk kus on NIS2 direktiiv üle võtmata.
Lugupidamisega /allkirjastatud digitaalselt/
Doris Põld Tegevjuht Keilin Tammepärg, [email protected]
Tähelepanu! Tegemist on välisvõrgust saabunud kirjaga. |
Tähelepanu! Tegemist on välisvõrgust saabunud kirjaga. |
Tere
Edastame Teile Eesti Infotehnoloogia ja Telekommunikatsiooni Liidu 13.03.2025 kirja nr 6.1-2/26 „Pöördumine seoses NIS2 direktiivi rakendusakti kohaldamisega Eestis“.
Lugupidamisega
Heleri Vahemäe
Büroojuht
Eesti Infotehnoloogia ja
Telekommunikatsiooni Liit
Lõõtsa 2B
11415 Tallinn
Mob 5115521
Tel 6177 145
Pr Liisa-Ly Pakosta Justiits- ja digiminister Justiits- ja Digiministeerium Suur-Ameerika 1 10122 TALLINN 13.03.2025 nr 6.1-2/26 Pöördumine seoses NIS2 direktiivi rakendusakti kohaldamisega Eestis Pöördume Teie poole seoses Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 ehk küberturvalisuse 2. direktiivi (edaspidi: NIS2 direktiiv) artikli 21 lõike 2 ja artikli 23 lõike 3 rakendamiseks vastu võetud Euroopa Komisjoni rakendusmäärusega (EL) 2024/2690. Tegemist on otsekohalduva õigusaktiga, millega kehtestatakse seoses domeeninimede süsteemi teenuse osutajate, tippdomeeninimede registrite, pilvandmetöötlusteenuse osutajate, andmekeskusteenuse osutajate, sisulevivõrgu pakkujate, hallatud teenuse osutajate, turbetarnijate ning internetipõhiste kauplemiskohtade, internetipõhiste otsingumootorite, sotsiaalvõrguteenuse platvormide ja usaldusteenuse pakkujatega NIS2 direktiivi kohaldamise eeskirjad, mis puudutavad küberturvalisuse riskijuhtimismeetmete tehnilisi ja metoodilisi nõudeid ning selliste juhtude täpsemat kindlaksmääramist, mille korral peetakse intsidenti oluliseks. See rakendusmäärus avaldati Euroopa Liidu Teatajas 17.10.2024 ja see jõustus 20. päeval pärast selle avaldamist.
NIS2 direktiiv ei ole Eesti õigusse üle võetud. Eelmise aasta detsembris kooskõlastamisele saadetud küberturvalisuse seaduse ja teiste seaduste muutmise seaduse eelnõu, millega NIS2 direktiiv üle võetakse, kavandatav jõustumise aeg on 1. juuli 2025.
Kõnealuse rakendusakti subjektis olevatel ettevõtete jaoks on ebaselge küsimus, kas rakendusaktis olevaid nõudeid tuleb või ei tule täita juba praegu, kuna NIS2 direktiivis sisalduv on Eesti õigusesse üle võtmata. Sel teemal on esitatud vastakaid seisukohti. Majandus- ja Kommunikatsiooniministeeriumi poolt selgitati Eesti Infotehnoloogia ja Telekommunikatsiooni Liidule 12.12.2024 kirjaga nr 9-2/2933-2, et tähtaegselt üle võtmata Euroopa Liidu direktiivid on otsekohaldatavad.
2
Samas märgiti, et Euroopa Komisjoni rakendusmäärus on määrus, mis on otsekohalduv ning tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides. Euroopa Komisjoni esindajad on kohtumisel huvigruppidega väljendanud seisukohta, et kui liikmesriigis NIS2 direktiivi ülevõtmise seadus puudub, puudub rakendusaktil selles riigis õiguslik alus ja seetõttu ei saa seda jõustada.
Palume Justiits- ja Digiministeeriumi seisukohta, kas nimetatud rakendusmäärust tuleb Eestis juba täita praegu ehk enne kui NIS2 direktiiv saab ülevõetud. Kui jah, siis mis kuupäevast alates? Kui ei, siis kas kohustus seda täita tekib päeval, mil NIS2 direktiivi üle võttev seadus jõustub? Palume nimetatud rakendusaktiga arvestada NIS2 direktiivi üle võtva eelnõu rakendussätteid koostades.
Ühtlasi palume infot, kas Eesti riigiasutused teenuse pakkumisel ja tellimisel juba järgivad seda rakendusakti ning kas Riigi Infosüsteemi Amet kui järelevalveastutus teostab rakendusmääruses sisalduvate nõuete täitmise üle juba praegu järelevalvet.
Kuna selles küsimuses valitseb endiselt segadus ja teadmatus (rakendusakt avaldati pea 5 kuud tagasi), palume avalikkusele kättesaadavaks teha juhendmaterjali, mis selgitab kas, mis hetkest alates ja kuidas seda õigusakti täitma peab.
Oleksime tänulikud, kui leiaksite võimaluse meie küsimusele vastamiseks uurida ka Euroopa Komisjoni seisukohta ning teiste liikmesriikide praktikat, kes on Eestiga sarnases olukorras ehk kus on NIS2 direktiiv üle võtmata.
Lugupidamisega /allkirjastatud digitaalselt/
Doris Põld Tegevjuht Keilin Tammepärg, [email protected]