From:
Eero Merilind <[email protected]>
Date: Tuesday, 18. March 2025 at 11:06
To: Liisa Pakosta - JUSTDIGI <[email protected]>
Subject: Küberturvalisuse nõuete leevendamine auditeerimiseks väikeettevõtetele
Tere Liisa-Ly.
Saadan info, mida palun toetada.
Tervitan
Eero
ETTEPANEK
küberturvalisuse seaduse alusel kehtestatud määruse „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ muutmiseks
Lugupeetud justiits ja digiminister Liisa-Ly Pakosta.
1.
Sissejuhatus
Pöördume seoses ettepanekuga muuta küberturvalisuse seaduse („KüTS“) § 7 lõike 5 alusel kehtestatud määrust „Võrgu- ja infosüsteemide küberturvalisuse
nõuded“ (edaspidi käesolevas pöördumises viidatud kui „määrus“).
Määruse § 4 lg 1 kohaselt peab teenuse osutaja tagama Eesti infoturbestandardi („E-ITS“) tingimuste täitmise auditi läbi viimise iga kolme
aasta järel. Oleme arvamusel, et praegusel kujul kehtestatud auditeerimiskohustus on paljudele subjektidele ebaproportsionaalselt koormav. Kuigi määruse § 4 lg 4 kohaselt on ette nähtud erandid, millistel juhtudel auditeerimiskohustus ei kehti, ei ole erandid
piisavad ning ei täida eesmärki, mis on erandite seadmisel seatud.
Praeguse regulatsiooni järgi kohaldub E-ITS auditeerimiskohustus ka väikeettevõtjatele, s.o. teenuse osutajatele, kellel on majandusaasta jooksul
keskmiselt alla 50 töötaja ja kelle aastakäive ei ületa 10 miljonit eurot, arvestades mikroettevõtjate määratlusi Euroopa Komisjoni soovituses 2003/361/EÜ mikro-, väikeste ja keskmise suurusega ettevõtjate määratlemise kohta (ELT L 124, 20.05.2003, lk 36–41).
Selliste väikeettevõtjatest teenuse osutajate hulgas on ka hinnanguliselt üle 200 perearstikeskuse.
Paljud väga väikesed, üksnes 2-3 nimistuga perearstikeskused ületavad aga mikroettevõtja definitsiooni lävendit, sest neil on üle 10 töötaja. Sellegipoolest
on aga tegu väga väikeste keskustega, kes tegutsevad piiratud ressurssidega. Selliste perearstikeskuste osas auditeerimiskohustuse sätestamine on ebaproportsionaalne ning ka ebavajalik, arvestades andmetöötluse eripära, majanduslikke põhjendusi, küberriskide
olulist mõju ja proportsionaalsust. Põhjendame enda seisukohtasid detailsemalt alljärgnevalt.
2.
Tervishoiusektor tagab ajalooliselt ja valdkonna eripärast tulenevalt andmetöötluse turvalisuse keskmisest oluliselt kõrgemal tasemel
Perearstikeskused töötlevad igapäevaselt hulgaliselt isikuandmeid ning eriliiki isikuandmeid. Kõikide tervishoiuteenuse osutamisesse kaasatud isikute
suhtes kehtib konfidentsiaalsuskohustus võlaõigusseaduse („VÕS“) § 768 järgi. VÕS regulatsiooni järgi peab tervishoiuteenuse osutaja hoidma saladuses kõikvõimalikke andmeid patsiendi ja tema tervise kohta, kui seaduses või kokkuleppel patsiendiga ei
ole ette nähtud teisiti. Sarnaselt advokaadi kutsesaladuse ja vaimuliku pihisaladusega kaitseb patsiendisaladus ehk arsti kutsesaladus usaldussuhet arsti ja patsiendi vahel. See on üldtunnustatud põhimõte, mille eesmärk on ühelt poolt tagada patsiendi privaatsus,
aga teisalt ka tema usk meditsiinisüsteemi, mille puudumisel ei pruugi inimene ravile tulla ning võib seetõttu ohustada ennast ja teisi. Patsiendisaladuse mõiste on lai ning patsiendisaladuse kohta on Riigikohus selgitanud, et näiteks kriminaalmenetluses pole
tervishoiutöötajal mitte üksnes õigus, vaid lausa kohustus keelduda patsiendi kohta ütluste andmisest ja dokumentide avaldamisest (RKKK 1-20-5071).
Seega, tervishoiusektor on ajalooliselt ja juba valdkonna eripärast lähtuvalt majandusharu, kus väärtustatakse konfidentsiaalsust ja andmetöötluse
turvalisust. Sellest tulenevalt on erinevad infoturbeprotsessid tervishoiusektoris tööprotsessidesse sisse kirjutatud juba ammu enne KüTS jõustumist. Meditsiin on olemuselt valdkond, kus andmetega käiakse keskmiselt hoolsamalt ringi ning kus infoturbesse suhtutakse
keskmisest tõsisemalt.
3.
Majanduslikud ja ressursilised piirangud ja piiratud IT-võimekus
Kuigi meditsiin on valdkond, kus andmed on hoitud keskmiselt turvalisemalt, siis samal ajal on väiksemate perearstikeskuste ja tervisekeskuste IT-võimekus
keskmisest madalam. Väiksemad perearstikeskused ja teised meditsiinikeskused tegutsevad sageli piiratud ressurssidega. Keskmisel perearstikeskusel ei ole enda IT-osakonda ega IT-tuge, vaid tavapäraselt ostetakse IT-teenused sisse.
E-ITS nõuete regulaarne auditeerimine nõuab aga spetsiifilisi IT-valdkonna teadmisi. IT-partnerite hinnangul nõuab E-ITS auditeerimine keskmise perearstikeskuse
puhul vähemalt 100 tundi vastava IT-spetsialisti spetsialisti tööd. Lisaks peavad auditi tegemisse olema kaasatud keskuse enda töötajad – arstid, õed ja ülejäänud personal. Seda rahastust pole arvestatud üldarstiabi rahastuse kulumudelisse.
Kokkuvõtlikult tähendab eeltoodu, et IT-süsteemide regulaarsed auditid nõuavad olulisi finants- ja inimressursse, mis võiksid muidu olla suunatud
patsientide teenindamiseks ja oluliste meditsiiniteenuste osutamisele. Väiksemate perearsti- ja tervisekeskuste sundimine suunama ressursse regulaarsete IT-auditite tegemisele võib ohustada ka nende elujõulisust. Eriti ohtlik on see maapiirkondade jaoks, kus
tervishoiuvõimalused on niigi piiratud.
4.
Küberriskide olulisus
Kõik perearstikeskused ei seisne sama suure küberturvalisuse riski ees, mis põhjendaks E-ITS auditeerimise vajadust iga 3 aasta järel. Väiksemad
ja keskmised perearstikeskused töötlevad vähem tundlikke andmeid võrreldes suuremate haiglatega. Seega on perearstikeskused madalama riskitasemega võrreldes näiteks suurte Haiglavõrgu arengukava haiglatega, kus teostatakse operatsioone ning teisi suuremaid
protseduure.
Perearstikeskuste puhul on ka risk terviseandmete juurdepääsule küberintsidendi korral väiksem. Perearstikeskuse IT-süsteem dubleerib riigi poolt
hallatavat Terviseportaali. Kõik tervishoiuteenuse osutajad täidavad Terviseportaali. Terviseportaali kaudu on patsiendi terviseandmed kättesaadavad ka siis, kui perearstikeskus peaks olema langenud küberintsidendi ohvriks ning perearstikeskuse süsteemid on
näiteks ajutiselt lukustatud.
5.
Proportsionaalsus
Ka praegu kehtiva küberturvalisuse seaduse seletuskirjas on auditeerimiskohustuse osas nenditud, et on võimalik, et auditeerimiskulud on majanduslikult
koormavamad subjektidele, kelle IKT korraldus on oluliselt väiksema mahuga (nt suur osa perearstidest). Seletuskirjast tulenevalt oli seaduseelnõu eesmärk majandusliku mõju tasakaalustamiseks auditikohustust kehtestava rakendusakti kavandis ettenähtud ka erand
mikroettevõtjatele (nt suurele osa tegutsevatele perearstidele).
Nagu eelpool punktides põhjendatud, siis ei ole praegune erand mikroettevõtjatele piisav. E-ITS auditeerimiskohustuse lävend on väga madal ning iga
kolme aasta tagant kohalduv auditeerimiskohustus on ebaproportsionaalselt koormav ka perearstikeskustele, kes on keskmise suurusega ettevõtjad.
6.
Ettepanek
Lähtudes eeltoodust teeme ettepaneku:
·
Muuta määruse „Võrgu- ja infosüsteemide küberturvalisuse nõuded“ § 4 lg 4 p 1 sõnastust ning sõnastada säte järgnevalt:
1) teenuse osutajale, kellel on majandusaasta jooksul keskmiselt alla 50 töötaja ja kelle aasta bilansimaht või aastakäive ei ületa 10 miljonit eurot, arvestades mikroettevõtjate määratlusi Euroopa Komisjoni soovituses 2003/361/EÜ mikro-, väikeste ja
keskmise suurusega ettevõtjate määratlemise kohta (ELT L 124, 20.05.2003, lk 36–41).
·
Alternatiivselt, muuta täiendada määruse § 4 lg 4 uue punktiga 4, mis oleks sõnastatud järgnevalt:
4) perearstikeskusest või tervisekeskusest teenuse osutajale, kellel on majandusaasta jooksul keskmiselt alla 50 töötaja ja kelle aasta bilansimaht või aastakäive ei ületa 10 miljonit eurot, arvestades mikroettevõtjate määratlusi Euroopa Komisjoni soovituses
2003/361/EÜ mikro-, väikeste ja keskmise suurusega ettevõtjate määratlemise kohta (ELT L 124, 20.05.2003, lk 36–41).
Lugupidamisega
Eero Merilind
Riigikogu liige