| Dokumendiregister | Riigi Infosüsteemi Amet |
| Viit | 1.1-21/25581 |
| Registreeritud | 04.04.2025 |
| Sünkroonitud | 07.04.2025 |
| Liik | Sissetulev kiri |
| Funktsioon | 1.1 Asutuse tegevuse korraldamine |
| Sari | 1.1-21 Õigusalane kirjavahetus ja muu dokumentatsioon |
| Toimik | 1.1-21/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Justiits- ja Digiministeerium |
| Saabumis/saatmisviis | Justiits- ja Digiministeerium |
| Vastutaja | Sander Pelisaar (RIA, PDA Oigus) |
| Originaal | Ava uues aknas |
Suur-Ameerika 1 / 10122 Tallinn / +372 620 8100 / [email protected]/ www.justdigi.ee Registrikood 70000898
Doris Põld tegevjuht Eesti Infotehnoloogia ja Telekommunikatsiooni Liit [email protected] Vastus selgitustaotlusele Saime Teie selgitustaotluse seoses Euroopa Parlamendi ja nõukogu direktiivi (EL) 2022/2555 (edaspidi NIS2 direktiiv) seotud Euroopa Komisjoni rakendusmäärusega (EL) 2024/2690 (edaspidi rakendusmäärus). Tolles rakendusmääruses kehtestatakse NIS2 kohaldamise eeskirjad, mis puudutavad küberturvalisuse riskijuhtimismeetmete tehnilisi ja metoodilisi nõudeid ja selliste juhtude täpsemat kindlaksmääramist, mille korral peetakse (küber)intsidenti oluliseks. Märgite, et rakendusmääruse kohaldamisalas olevate ettevõtte jaoks on ebaselge küsimus, kas rakendusaktis olevaid nõudeid tuleb või ei tule juba praegu, kui NIS2 direktiiv on veel Eesti õigusesse üle võtmata. Teie kirjas on erinevaid teemasid ja küsimusi, mistõttu selguse huvides vastame neile teemade kaupa. Vastuse koostamiseks konsulteerisime Euroopa Komisjoni esindajatega ning Riigi Infosüsteemi Ametiga. Teema 1: Majandus- ja Kommunikatsiooniministeeriumi 12.12.2024 kirjas nr 9-2/2933-2 on selgitatud, et tähtaegselt üle võtmata Euroopa Liidu direktiivid on otsekohaldatavad. Samas vastuses märgiti ka, et nimetatud rakendusmäärus on otsekohalduv ning vahetult kohaldatav kõikides liikmesriikides. Lisaks märgite, et „Euroopa Komisjoni esindajad on kohtumisel huvigruppidega väljendanud seisukohta, et kui liikmesriigis NIS2 direktiivi ülevõtmise seadus puudub, puudub rakendusaktil selles riigis õiguslik alus ja seetõttu ei saa seda jõustada“. Seetõttu soovite teada saada, kas nimetatud rakendusmäärust tuleb Eestis täita juba praegu ehk enne kui NIS2 direktiiv saab üle võetud. Kui jah, siis mis kuupäevast alates? Kui ei, siis kas kohustus seda täita tekib päeval, mil NIS2 direktiivi üle võttev seadus jõustub? Samuti palute, et selle rakendusaktiga arvestatakse NIS2 direktiivi üle võtva eelnõu rakendussätteid koostades. Oleme jätkuvalt seisukohal, et rakendusmäärus on otsekohalduv, kuid praktikas on see otseses sõltuvuses enda volitusnormist ning sellega seotud õigusaktist ehk NIS2 direktiivist. Rakendusmäärus täpsustab NIS2 direktiivi artiklites 21 ja 23 olevaid nõudeid ehk ta on sõltuvuses siseriiklikust õigusaktist, mis NIS2 direktiivi üle võtab. Kuna NIS2 direktiiv ei ole veel Eesti õigusesse lõplikult üle võetud, siis ei saa rakendusmääruse nõuded ka Eesti puhul ette selles ette nähtud subjektidele kehtida. Lisasime kirja saajate hulka ka Euroopa Liidu Eesti esinduse, kes saab soovi korral seda teemat täiendavalt selgitada. NIS2 direktiivi üle võtvale eelnõule tuli erinevat tagasisidet, sh ka üleminekusätete kohta. Selle tagasiside läbi vaatamise käigus hindame ka NIS2 direktiivi üle võtva eelnõus olevate üleminekusätete tekitamist. Teema 2: Lisaks soovite infot, kas Eesti riigiasutused teenuse pakkumisel ja tellimisel juba järgivad seda rakendusakti ning kas Riigi Infosüsteemi Amet kui järelevalveastutus teostab rakendusmääruses sisalduvate nõuete täitmise üle juba praegu järelevalvet.
Teie 13.03.2025 nr 6.1-2/26
Meie 03.04.2025 nr 21-2/25/2474-2
Meil puudub hetkel teadmine ja ülevaade, kuivõrd Eesti riigiasutused seda rakendusmäärust järgivad, kuna me pole sedasorti teavet kogunud. Samas märgime, et Riigi Infosüsteemi Ameti selgituse kohaselt on kõnealuse rakendusmääruse sisu põhimõtteliselt sama, mis on näiteks ette nähtud Eesti infoturbestandardiga. Seega küberturvalisuse seaduse subjektid, kes lähtuvad Eesti infoturbestandardist ning on samal ajal ka rakendusmääruse subjektide hulgas, peavad praktikas lähtuma sisuliselt rakendusmääruses sätestatud nõuetest. Riigi Infosüsteemi Amet on meile selgitanud, et nad ei teosta rakendusmääruse üle järelevalvet – seda just eespool mainitust tulenevalt. Kuid kehtiva õiguse alusel on neil õigus teha järelevalvet küberturvalisuse seaduse ja selle alusel kehtestatud nõuete, sh ka Eesti infoturbestandardi nõuete täitmise üle. Lugupidamisega (allkirjastatud digitaalselt) Taavi Viilukas juhataja Lisaadressaadid: Riigi Infosüsteemi Amet Euroopa Komisjoni Eesti esindus Raavo Palu [email protected]