| Dokumendiregister | Siseministeerium |
| Viit | 5-1/23-1 |
| Registreeritud | 05.05.2025 |
| Sünkroonitud | 06.05.2025 |
| Liik | Sissetulev kiri |
| Funktsioon | 5 EL otsustusprotsess ja rahvusvaheline koostöö |
| Sari | 5-1 Euroopa Liidu otsustusprotsessi dokumendid (AV) |
| Toimik | 5-1/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Justiits- ja Digiministeerium |
| Saabumis/saatmisviis | Justiits- ja Digiministeerium |
| Vastutaja | Katarina Budrik (kantsleri juhtimisala, Euroopa Liidu ja välissuhete osakond) |
| Originaal | Ava uues aknas |
Resolutsiooni liik: Riigikantselei resolutsioon Viide: Justiits- ja Digiministeerium / / ; Riigikantselei / / 4-2/25-00837
Resolutsiooni teema: ELi küberturvalisuse määruse avalik konsultatsioon
Adressaat: Justiits- ja Digiministeerium Ülesanne: Tulenevalt 30.04.2025 EL koordinatsioonikogu otsusest palun esitada seisukohad Euroopa Komisjoni poolt avaldatud avaliku konsultatsiooni kohta: ELi küberturvalisuse määrus
EISi toimiku nr: 25-0207
Viide avalikule konsultatsioonile: https://ec.europa.eu/info/law/better-regulation/have-your-say /initiatives/14578-ELi-kuberturvalisuse-maarus_et
Tähtaeg: 09.06.2025
Adressaat: Haridus- ja Teadusministeerium, Kaitseministeerium, Majandus- ja Kommunikatsiooniministeerium, Siseministeerium, Välisministeerium Ülesanne: Palun esitada oma sisend Justiits- ja Digiministeeriumile seisukohtade kujundamiseks antud avaliku konsultatsiooni kohta (eelnõude infosüsteemi (EIS) kaudu).
Tähtaeg: 26.05.2025
Lisainfo: Avalikku konsultatsiooni on kavas arutada 11.06.2025 EL koordinatsioonikogu istungil. Esialgsed materjalid EL koordinatsioonikoguks palume esitada hiljemalt 09.06.2025.
Kinnitaja: Nele Grünberg, Euroopa Liidu asjade direktori asetäitja Kinnitamise kuupäev: 02.05.2025 Resolutsiooni koostaja: Elen Nurme [email protected], 693 5201
.
TAGASISIDEKORJE:
MÕJU HINDAMINE
Käesoleva dokumendi eesmärk on anda avalikkusele ja sidusrühmadele teavet komisjoni tulevase õigusloometöö kohta, et nad saaksid anda tagasisidet komisjoni arusaama kohta probleemist ja selle võimalikest lahendustest ning esitada meile kogu nende käsutuses oleva asjakohase teabe, muu hulgas näiteks eri poliitikavariantide võimalike mõjude kohta.
ALGATUSE PEALKIRI Küberturvalisuse määruse muutmine
JUHTIV PEADIREKTORAAT
(VASTUTAV ÜKSUS) Sidevõrkude, sisu ja tehnoloogia peadirektoraat, direktoraat H, üksus H1
ALGATUSE TÕENÄOLINE LIIK Seadusandlik algatus – määrus
LIGIKAUDNE AJAKAVA 2025. aasta IV kvartal
LISATEAVE ELi küberturvalisuse määrus
Käesolev dokument on üksnes informatsiooniks. See ei mõjuta komisjoni lõplikku otsust selle kohta, kas algatust jätkatakse, ega selle lõplikku sisu. Kõik kirjeldatud algatuse elemendid, sealhulgas ajakava, võivad muutuda.
A. Poliitiline taust, probleemi kirjeldus ja subsidiaarsuse kontroll
Poliitiline taust
Komisjoni 2025. aasta tööprogrammi kesksete eesmärkide hulka kuulub lihtsustamine, mis on määratletud kui üks eeldustest liidu suurema heaolu ja toimetulekuvõime kindlustamisel. President Ursula von der Leyeni missioonikirjas juhtivale asepresidendile Henna Virkkunenile on rõhutatud seda, kui oluliseks peab Euroopa Liit rangete küberturvalisusstandardite tagamist ja Euroopa küberturvalisuse sertifitseerimise kavade vastuvõtmisprotsessi parandamist. Samuti esitati üleskutse see küsimus läbi vaadata nõukogu 6. detsembri 2024. aasta järeldustes, milles käsitleti Euroopa Liidu Küberturvalisuse Ametit (allpool „ENISA“). Samuti on küberturvalisuse määruse läbivaatamine üks strateegia ProtectEU raames kavandatud algatusi.
Probleem, mida algatusega lahendatakse
2019. aastal vastu võetud küberturvalisuse määrusega anti ENISA-le alalise organi staatus ja loodi Euroopa
küberturvalisuse sertifitseerimise raamistik.
ENISA-le anti ulatuslikud volitused ELi küberturvalisusvajaduste käsitlemiseks, kuid küberturvalisuse määruse
vastuvõtmise järgse viie aasta jooksul on küberturbemaastik nii rünnete keerukuse kui ka nende arvu poolest oluliselt
muutunud. Lisaks sellele võeti pärast küberturvalisuse määruse vastuvõtmist vastu mitu õigusakti, millest tulenevalt
arendati ENISA ülesandeid edasi, et astuda vastu ebastabiilse geopoliitilise keskkonna üha suurematele
küberturvalisuse probleemidele ja ELi küberturvalisussektorit nii ELi piires kui ka väljaspool seda paremini toetada.
Seega on vaja küberturvalisuse määrus läbi vaadata, et viia ENISA volitused kooskõlla tema uuenenud positsiooni
ja ülesannetega.
Lisaks sellele loodi 2019. aasta küberturvalisuse määrusega Euroopa küberturvalisuse sertifitseerimise raamistik
(allpool „ELi sertifitseerimisraamistik“). ELi sertifitseerimisraamistikul on oluline roll küberturvalisuse suurendamisel,
et kaitsta IKT tarneahelate turvalisuse kindlustamise läbi liidu tööstusi, kodanikke ja elutähtsat taristut nii ELi seest
kui väljastpoolt seda lähtuvate ohtude eest. Teisalt on arenguruumi seoses vastuvõtmisprotsessi ning selle
paindlikkuse ja tõhususega, protsessi eri osaliste kindlapiirilise rolli ja vastutuse määratlemisega ning
sertifitseerimiskavade haldamisetapiga. Lisaks sellele on vaja luua suurem selgus ELi sertifitseerimisraamistikuga
hõlmatud riskide suhtes, samuti kaaluda täiendavalt võimalusi lahendada mittetehniliste riskitegurite probleem.
Samuti tuleks arvesse võtta küberkerksuse määruse mõju vabatahtlike kavade kasutamisele.
Peale selle on komisjoni lihtsustamisprogrammis rõhutatud vajadust leida lahendus mitmest õigusaktist tulenevatele
komplikatsioonidele ja tagada kohane sünergia algatustega, mis on seotud liidu valmisoleku suurendamisega.
Küberturvalisuse määruse läbivaatamine on hea võimalus lihtsustada veelgi eri horisontaalsetes ja valdkondlikes
Ref. Ares(2025)2970891 - 11/04/2025
2
õigusaktides sisalduvaid küberturvalisust puudutavaid nõudeid, et soodustada nende tulemuslikku rakendamist,
vähendada halduskoormust ja tagada ettevõtlussõbralik keskkond.
ELi meetmete alus (õiguslik alus ja subsidiaarsuse kontroll)
Õiguslik alus
Küberturvalisuse määruse vastuvõtmise alus 2019. aastal oli Euroopa Liidu toimimise lepingu artikkel 114, millega antakse liidu seadusandjale õigus võtta liikmesriikide õigus- ja haldusnormide ühtlustamiseks meetmeid, mille eesmärk on siseturu rajamine ja selle toimimine. Küberturvalisuse määruse läbivaatamine tugineb samale õiguslikule alusele.
Praktiline vajadus ELi meetmete järele
Käesoleval juhul on ELi sekkumine küberturvalisuse vallas õigustatud, kuna läbi vaadatakse kehtiv õigusakt.
ENISA-le antud volituste eesmärk on saavutada küberturvalisuse ühtlaselt kõrge tase kõigi ELi sidusrühmade puhul. Sellega sarnaselt tahetakse ELi sertifitseerimisraamistikuga tagada liidus IKT-toodete, -teenuste ja -protsesside küberturvalisuse küllaldane tase ning vältida siseturu killustatust. Peale selle võetakse ettepanekus vaatluse alla IKT tarneahelate turvalisuse suurendamine. Üksi tegutsedes ei suuda liikmesriigid nimetatud eesmärke piisaval määral saavutada ning seega on vaja liidu tasandi meetmeid, nagu on ette nähtud Euroopa Liidu lepingu artiklis 5.
Küberturvalisuse määruse läbivaatamine on selgelt suunatud kübervaldkonnaga seotud õigusaktides sisalduvate meetmete ühtlustamisele, pingereastamisele ja lihtsustamisele ning see on võimalik ainult ELi tasandil.
B. Eesmärgid ja poliitikavariandid
Küberturvalisuse määruse läbivaatamise üldeesmärk on ühtlustada küberturvalisusmeetmeid, suurendada küberkerksust ja saavutada küberturvalisuse ühtlaselt kõrge tase kõikjal liidus, aidates samal ajal täita komisjoni lihtsustamiskava. Küberturvalisuse määruse läbivaatamine keskendub seega ENISA volituste läbivaatamisele, ELi sertifitseerimisraamistiku läbivaatamisele ja IKT tarneahelate turvalisusega seotud probleemide käsitlemisele.
Arutelu praeguses etapis kaalub komisjon järgmisi poliitikavariante.
1. Säilitada praegune olukord, mis tähendab, et küberturvalisuse määrust ei muudeta.
2. Võtta muid kui seadusandlikke meetmeid, millega i) tõhustada ELi sertifitseerimisraamistiku valdkonnas sertifitseerimiskavade väljatöötamist ja rakendamist ning ii) parandada aruandekohustusi ja muud küberturvalisusmeetmeid, näiteks neid selgitades või täpsustades.
3. Võtta sihipäraseid regulatiivseid meetmeid, mis võivad seisneda sihipärastes muudatustes, et kajastada täpsemalt ENISA volitusi ja lisada neisse ülesanded, mis on juba ette nähtud muudes seadusandlikes aktides. ELi sertifitseerimisraamistiku suhtes võivad need seisneda sihipärastes muudatustes, millega suurendatakse raamistiku selgust ja muudetakse sertifitseerimiskavade haldamisetapp ametlikuks. Samuti võiks nende raames teha sihipäraseid muudatusi aruandekohustuste lihtsustamiseks.
4. Tunnistada küberturvalisuse määrus kehtetuks ja teha ettepanek kõikehõlmava regulatsiooni kohta, mis oleks suunatud ENISA volituste ja ameti rolli suurendamisele küberturvalisuse ökosüsteemis ning ELi sertifitseerimisraamistiku tõhustamisele, laiendades selle ulatust ja käsitledes IKT tarneahelate turvaprobleeme, sealhulgas mittetehnilisi riskitegureid. Samuti lihtsustataks sel juhul aruandekohustusi ja võimalik, et ka küberturvalisusmeetmeid.
C. Tõenäoline mõju
Algatusel on eeldatavasti pikaajaline positiivne majanduslik mõju. Ülesannete ühtlustamine ja aruandekohustuste
lihtsustamine aitab vähendada ettevõtjate halduskoormust. ELi sertifitseerimisraamistiku suuremal tõhususel ja
tulemuslikkusel peaks olema positiivne mõju ühtsele turule, kuna see toob kaasa nõuete suurema ühtsuse ning aitab
tõsta küberturvalisuse ja küberkerksuse taset.
3
Samuti on algatusel positiivne mõju ühiskonnale, nagu küberintsidentide ja küberkuritegevuse väiksem mõju. See annaks kindlama kaitse põhiõigustele (eriti mis puudutab õigust isikuandmete kaitsele), kuna näiteks intsidentidest teatamise kohustuse lihtsustamine võimaldab tõhusamalt intsidentidele ja andmetega seotud rikkumistele reageerida ja neist taastuda.
D. Parema õigusloome vahendid
Mõju hindamine
Poliitikaalgatust aitab ette valmistada mõjuhinnang, mida toetavad tõendite kogumine ja sidusrühmadega konsulteerimine. See koostatakse kooskõlas parema õigusloome suunistega.
Mõjuhinnangus võetakse lisaks sellele arvesse konsultatsioone, mis toimusid 2024. aastal küberturvalisuse määruse artikli 67 kohaselt selle hindamiseks. Sellega seoses on juba küsitud sidusrühmade arvamust: 2023. aastal korraldati tagasisidekorje ja avalik konsultatsioon, mille teemad olid ENISA tegevus, ELi sertifitseerimisraamistiku toimimine ja võimalik vajadus muuta küberturvalisuse määrust. Ehkki uuringute käigus ilmnes, et ENISA täitis enamikku talle antud ülesannetest, selgus samuti, et ameti volitused tuleks uuemate küberturvalisuse alaste õigusaktide alusel täpsemini määratleda ning et parandada tuleb ENISA pakutavat toetust poliitika rakendamise ja sidusrühmade kaasamise vallas. Mis puudutab ELi sertifitseerimisraamistikku, siis tuleks selgemini määratleda selle kohaldamisala, eriti sellega hõlmatud riskid, ning ühtlustada kavade väljatöötamist ja vastuvõtmist, sealhulgas nende kasutuselevõttu ja haldamist.
Konsulteerimisstrateegia
Käesoleva tagasisidekorjega paralleelselt käivitab komisjon 2025. aasta 20. juunini kestva avaliku konsultatsiooni, et koguda veebisaidi „EUSurvey“ vahendusel eri sidusrühmade seisukohti. Küsimustik avaldatakse inglise, prantsuse ja saksa keeles. Avalikul konsultatsioonil osalema on teretulnud kõik asjassepuutuvad sidusrühmad, eriti need, kes on loetletud allpool osas „Sidusrühmad“.
Komisjon kutsub avalikus konsultatsioonis osalema oma tavapäraste kommunikatsioonikanalite kaudu. Üldisemalt võivad sidusrühmade esindajad, kes soovivad uute avalike konsultatsioonide kohta meilitsi teavitusi saada, registreerida ennast RSS-kanali jälgijaks või tellida veebisaidi „Avaldage arvamust!“ teated.
Komisjon kogub täiendavaid arvamusi ekspertide ja sidusrühmadega peetavate arutelude käigus mitmesugustel teemadel (ENISA volituste läbivaatamine, ELi sertifitseerimisraamistik, lihtsustamine).
Miks me selle konsultatsiooni korraldame?
Käesoleva konsultatsiooni abil soovib komisjon koguda sidusrühmade arvamusi küberturvalisuse määruse läbivaatamise kohta, eriti mis puudutab järgmist:
• valdkonnad, kus ENISA praegused volitused tuleks läbi vaadata;
• ELi praeguse sertifitseerimisraamistiku läbivaatamine ja IKT tarneahelate turvalisusega seonduvad probleemid;
• vajadus lihtsustada küberturvalisusmeetmeid ja aruandekohustusi.
Sihtrühm
Konsultatsiooni eesmärk on koguda seisukohti eri sidusrühmadelt, kelle hulgas on:
• riikide pädevad asutused, sealhulgas küberturvalisusega seotud asutused;
• küberturvalisusega tegelevad rühmitused, nagu Euroopa küberturvalisuse sertifitseerimise rühm ja sidusrühmade küberturvalisuse sertifitseerimise rühm;
• muud küberturvalisusega tegelevad ELi organid;
• kutseorganisatsioonid ja tegevusalade esindajad (sh VKEde hulgast) ja üksikud ettevõtted;
• teadlased ja akadeemilised ringkonnad;
• küberturvalisussektori kutsetöötajad;
• tarbijaorganisatsioonid ja kodanikud.