Kirjavahetus

Tere

Mul on seoses uue eIDAS-ega tekkinud paar küsimust, mille osas sooviksin teiega konsulteerida. Nimelt:

1. 1. eIDAS-e art 24 p 2(a) ütleb, et usaldusteenuse muudatustest tuleb teavitada vähemalt 30 päeva ette, EUTS aga ütleb, et teavitada tuleb viivitamata (jättes täpsustamata, millest alates viivitamata). Küsimus:
   1. a. Kummast nõudest antud juhul juhinduma peame?
   2. b. Kas ja kuidas on plaanis EUTS selle nõude osas eIDAS-ega joondada?
2. 2. eIDAS-e artikkel 24 p 2 viimane lõik ütleb, et järelevalvel on otsuse tegemiseks aega 3 kuud, mida võib pikendada, kui selleks on põhjus. EUTS otseselt ei ütle, mis aja jooksul muudatuse teavituse korral otsus tehakse, aga siiani on praktika olnud, et menetlusaeg on 30 päeva (ma ei ole hetkel kindel, kas see tuleb mõnest õigusaktist). Küsimused:
   1. a. Võttes arvesse eelnevas punktis mainitud nõuet teavitada muudatustest ette vähemalt 30 päeva, eeldan, et n-ö tavapärane eIDASega ette nähtud menetlusaeg on siiski 30 päeva. 3 kuud või rohkem tuleb kõne alla siis, kui järelevalve küsib selle esimese 30 päeva jooksul lisainfot. Kas selline tõlgendus on teie arusaamaga kooskõlas?
   2. b. Kas ja kuidas on plaanis EUTSi see eIDASes sätestatud menetlusaja pikendamine sisse tuua? Küsimus tuleneb sellest, et praktikas on meil iga vastava muudatuse osas vaja oma plaanidesse sisse arvestada ka RIA menetlusaeg. On päris suur vahe, kas peame arvestama 30 päeva või 3 kuud (või isegi rohkem) ja kuidagi on meil vaja seda ka oma sisemistes protsessides kajastada. Iga muudatuse korral 3 kuud arvestada ei tundu mõistlik. Mingisuguse konkreetsuse saavutamiseks saame näiteks eeldada, et menetlusaja pikendamine on tõenäolisem pigem suuremate muudatuste puhul, kus tuleb nagunii esitada korduva loa taotlus või uus taotlus. Sellistel juhtudel näeb EUTS menetlusajaks ette vastavalt 50 või 80 päeva. Need tähtajad erinevad aga ikkagi eIDAS-e klauslis esitatud 3-le kuust.

Ehk siis, kas oskate anda mingi indikatsiooni, milliste muudatuste puhul või millistes olukordades peaksime praktikas arvestama 3-kuulise menetlusajaga?

1. 1. Uue eIDAS-e kohaselt (art 20.1 ja 21.1) peavad kvalifitseeritud usaldusteenusepakkujad olema auditeeritud NIS2 artikli 21 vastu. NIS2 näol on aga tegemist direktiiviga, mis tähendab, et see ei ole otsekohalduv. NIS2 rakendusaktis on küll öeldud, et see on justkui otsekohalduv, aga nii ei saa tegelikult olla. Eesti õigusesse ei ole aga praeguseks NIS2 üle võetud.

Konsulteerisime märtsis/aprillis ITL-i kaudu selles küsimuses Justiits- ja Digiministeeriumiga. Ministeeriumi seisukoht on lühidalt kokku võttes, et NIS2 ja ja selle rakendusakt ei ole otsekohalduvad ja nendes sisalduvatele nõuetele otseselt ei pea enne NIS2 ülevõtmist Eesti õigusesse vastama.

Seda arvesse võttes ja eeldusel, et meie auditi alguseks veel NIS2 Eesti õigusesse üle võetud ei saa, on meie ettepanek, et SK võtab siiski NIS2, selle rakendusakti ja praegu kehtiva KüTS-i nõuded oma sügisese usaldusteenuste re-sertifitseerimise auditi skoopi (st auditeeritakse ka nende nõuete vastu), kuid kõiki NIS2 nõudeid puudutavaid leide käsitletakse ja vormistatakse raportis soovitustena (potential for improvement), mitte otseselt mittevastavustena (kuna faktiliselt me nendele nõuetele veel vastama ei pea). Kas selline plaan sobib teile?

Olen väga tänulik, kui leiate aega nende küsimuste osas oma mõtteis avaldada.

Tervitades

Kaisa